-
09/04/2020
-
107
-
915 bài viết
Website WordPress nhiễm mã độc ngầm, tự động cài RAT vào máy người truy cập
Một chiến dịch phần mềm độc hại tinh vi nhắm vào WordPress, dùng mã PHP xáo trộn âm thầm cài Remote Access Trojan (RAT) vào thiết bị người truy cập, duy trì quyền kiểm soát lâu dài.
Kẻ tấn công khai thác các trang đã bị xâm nhập, tạo backdoor, sử dụng dòng lệnh tự động và kết nối bí mật tới máy chủ C2. Theo báo cáo điều tra cho thấy, hacker đã sử dụng mã độc PHP khó phát hiện và kịch bản tấn công nhiều lớp để qua mặt các biện pháp phòng thủ truyền thống, tạo ra nguy cơ lớn cho cả chủ website lẫn người dùng cuối.
Chiến dịch bắt đầu bằng việc kẻ tấn công cài mã độc vào các tệp PHP hợp pháp trên website WordPress, thường là tệp “header.php” hoặc thêm tệp lạ như “man.php”. Các tệp này đóng vai trò như một dropper (trình tải), dùng kỹ thuật làm rối mã (obfuscation) để giấu mã độc.
Một khi có người truy cập vào website, đoạn mã độc trong “header.php” sẽ:
Đối với người dùng:
Chiến dịch tấn công này cho thấy sự nguy hiểm của việc khai thác WordPress làm bàn đạp tấn công người dùng. Với khả năng tàng hình cao và dễ lây lan, chỉ cần một click truy cập trang web bị nhiễm cũng có thể khiến người dùng dính mã độc nguy hiểm mà không hề hay biết. Cả người dùng và quản trị viên hệ thống cần đặc biệt cẩn trọng, thực hiện biện pháp phòng ngừa chủ động để bảo vệ chính mình và cộng đồng.
Kẻ tấn công khai thác các trang đã bị xâm nhập, tạo backdoor, sử dụng dòng lệnh tự động và kết nối bí mật tới máy chủ C2. Theo báo cáo điều tra cho thấy, hacker đã sử dụng mã độc PHP khó phát hiện và kịch bản tấn công nhiều lớp để qua mặt các biện pháp phòng thủ truyền thống, tạo ra nguy cơ lớn cho cả chủ website lẫn người dùng cuối.
Chiến dịch bắt đầu bằng việc kẻ tấn công cài mã độc vào các tệp PHP hợp pháp trên website WordPress, thường là tệp “header.php” hoặc thêm tệp lạ như “man.php”. Các tệp này đóng vai trò như một dropper (trình tải), dùng kỹ thuật làm rối mã (obfuscation) để giấu mã độc.
Một khi có người truy cập vào website, đoạn mã độc trong “header.php” sẽ:
- Kiểm tra IP người dùng để đảm bảo không gửi mã độc cho IP trùng lặp (giảm khả năng bị phát hiện).
- Tạo file ".bat" (batch) độc hại có tên "update.bat".
- Ép trình duyệt tải file này về máy người truy cập bằng cách chèn nó vào header phản hồi HTTP.
- Tạo thư mục trong "%APPDATA%" để lưu trữ mã độc.
- Dùng PowerShell để tải về một tập tin nén (psps.zip) từ máy chủ điều khiển từ xa.
- Giải nén và kích hoạt tệp "client32.exe" - chính là Remote Access Trojan (RAT).
- Tự thêm vào mục khởi động cùng Windows qua registry (Run key).
- Xoá file ".zip" để che giấu dấu vết, nhưng giữ lại RAT để tiếp tục hoạt động.
Vì sao chiến dịch này nguy hiểm?
- Ẩn mình hiệu quả: Dùng IP lọc, mã hoá code, tự động xóa dấu vết sau khi cài đặt.
- Lây lan gián tiếp: Không cần người dùng tải file từ email hay USB chỉ cần truy cập web bị nhiễm.
- Chiếm quyền dài hạn: Duy trì kết nối RAT mỗi khi máy khởi động.
- Gây hại đa chiều: Tin tặc có thể dùng RAT để đánh cắp dữ liệu, cài phần mềm khác, theo dõi người dùng, mã hoá tống tiền hoặc dùng làm bàn đạp lây sang hệ thống nội bộ.
Đối tượng nào có thể bị ảnh hưởng?
- Chủ website WordPress: Nếu không cập nhật CMS, plugin hoặc cài thêm mã nguồn không rõ nguồn gốc.
- Người truy cập website: Nếu vô tình mở hoặc tải file độc hại khi truy cập các trang WordPress bị nhiễm mã độc.
Cần làm gì để phòng tránh?
Các quản trị website cần liên tục quét mã độc, kiểm tra tệp và dùng tường lửa để phòng chống. Người dùng cũng nên cảnh giác và cập nhật phần mềm để tránh bị tấn công.Đối với người dùng:
- Không tải hoặc mở file lạ từ trình duyệt về thiết bị, nhất là nếu không rõ lý do tại sao phải tải file về.
- Luôn bật Windows Defender, cập nhật phần mềm diệt virus và không vô hiệu hoá UAC.
- Kiểm tra máy tính nếu nghi ngờ bị nhiễm, tìm dấu hiệu như file lạ trong "%APPDATA%" hoặc các tiến trình bất thường.
- Quét và kiểm tra thư mục wp-content/mu-plugins/ định kỳ
- Vô hiệu hóa thực thi PHP trong thư mục wp-content/uploads/ và mu-plugins/ (trừ khi bạn thực sự cần).
- Cập nhật tất cả plugin và xóa plugin không cần thiết
- Thiết lập giám sát thay đổi file và cảnh báo nếu có file PHP mới sinh ra
- Quét toàn bộ mã nguồn PHP, đặc biệt các file như: "header.php", "functions.php", thư mục "theme/plugin".
- Theo dõi nhật ký truy cập (logs) để phát hiện IP lạ hoặc các yêu cầu bất thường.
- Triển khai WAF (Web Application Firewall) và công cụ giám sát thay đổi tệp.
- Cập nhật CMS, plugin, theme thường xuyên để vá các lỗ hổng bị khai thác.
- Cài plugin bảo mật đáng tin cậy (Wordfence, Sucuri, v.v.).
Chiến dịch tấn công này cho thấy sự nguy hiểm của việc khai thác WordPress làm bàn đạp tấn công người dùng. Với khả năng tàng hình cao và dễ lây lan, chỉ cần một click truy cập trang web bị nhiễm cũng có thể khiến người dùng dính mã độc nguy hiểm mà không hề hay biết. Cả người dùng và quản trị viên hệ thống cần đặc biệt cẩn trọng, thực hiện biện pháp phòng ngừa chủ động để bảo vệ chính mình và cộng đồng.
Theo Cyber Press