WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Website WordPress bị lợi dụng chuyển hướng người dùng đến các site độc hại
Một chiến dịch mới sử dụng các website WordPress bị hack để chuyển hướng người dùng đến các site độc có chứa bộ khai thác Flash vừa được phát hiện.
Chiến dịch sử dụng bộ khai thác có tên Neutrino và kết hợp giữa các website WordPress bị hack, iframe ẩn, trình duyệt Internet Explorer, bộ khai thác Flash của Hacking Team và mã độc tống tiền CryptoWall.
Một chu trình phức tạp nhưng hiệu quả
Theo thông tin của hãng an ninh Zscaler, chiến dịch này sử dụng 2.600 website WordPress đã bị hacker chiếm thông tin đăng nhập, từ đó lây nhiễm iframe ẩn trên 4.200 website khác, âm thầm chuyển hướng người dùng tới các trang đang độc hại.
Hầu hết các site WordPress bị hack đang chạy phiên bản CMS 4.2 và các phiên bản trước đó.
Trên các trang đích độc hại, một tập file Flash SWF được kích hoạt chỉ trên trình duyệt Internet Exolorer, tập tin này lợi dùng lỗ hổng zeroday CVE-2015-5119 trên Flash để lây nhiễm mã độc tống tiền CryptoWall trên máy tính nạn nhân.
Hầu hết các phần mềm diệt virus không phát hiện ra chương trình này
Zscaler chỉ ra rằng file Neutrino Flash SWF ban đầu chứa một SWF thứ cấp được sử dụng để lây nhiễm mã độc. File SWF thứ cấp này phát tán một file thực thi đã được mã hóa, cài đặt CryptoWall 3.0 để khóa các file của người dùng.
Chiến dịch sử dụng bộ khai thác có tên Neutrino và kết hợp giữa các website WordPress bị hack, iframe ẩn, trình duyệt Internet Explorer, bộ khai thác Flash của Hacking Team và mã độc tống tiền CryptoWall.
Một chu trình phức tạp nhưng hiệu quả
Theo thông tin của hãng an ninh Zscaler, chiến dịch này sử dụng 2.600 website WordPress đã bị hacker chiếm thông tin đăng nhập, từ đó lây nhiễm iframe ẩn trên 4.200 website khác, âm thầm chuyển hướng người dùng tới các trang đang độc hại.
Hầu hết các site WordPress bị hack đang chạy phiên bản CMS 4.2 và các phiên bản trước đó.
Trên các trang đích độc hại, một tập file Flash SWF được kích hoạt chỉ trên trình duyệt Internet Exolorer, tập tin này lợi dùng lỗ hổng zeroday CVE-2015-5119 trên Flash để lây nhiễm mã độc tống tiền CryptoWall trên máy tính nạn nhân.
Hầu hết các phần mềm diệt virus không phát hiện ra chương trình này
Zscaler chỉ ra rằng file Neutrino Flash SWF ban đầu chứa một SWF thứ cấp được sử dụng để lây nhiễm mã độc. File SWF thứ cấp này phát tán một file thực thi đã được mã hóa, cài đặt CryptoWall 3.0 để khóa các file của người dùng.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: