นักวิจัยด้านความปลอดภัยจากบริษัท c/side เปิดเผยว่า พบแคมเปญมัลแวร์ที่เจาะระบบเว็บไซต์ WordPress มากกว่า 5,000 แห่ง โดยมีวัตถุประสงค์เพื่อสร้างบัญชีผู้ดูแลระบบปลอม ติดตั้งปลั๊กอินที่เป็นอันตราย และขโมยข้อมูลสำคัญ
การสืบสวนพบว่ามัลแวร์ใช้โดเมน wp3[.]xyz เป็นช่องทางในการดึงข้อมูลออกจากระบบ แต่ยังไม่สามารถระบุได้อย่างแน่ชัดว่าเกิดการติดเชื้อครั้งแรกได้อย่างไร
หลังจากเจาะระบบเป้าหมายสำเร็จ มัลแวร์จะโหลดสคริปต์ที่เป็นอันตรายจากโดเมนดังกล่าว เพื่อสร้างบัญชีผู้ดูแลระบบปลอมชื่อ wpx_admin โดยใช้ข้อมูลเข้าสู่ระบบที่ถูกตั้งค่าไว้ในโค้ด
จากนั้น สคริปต์จะติดตั้งปลั๊กอินอันตรายชื่อ plugin.php ซึ่งดาวน์โหลดจากโดเมนเดียวกัน และเปิดใช้งานปลั๊กอินบนเว็บไซต์ที่ถูกโจมตี
ตามรายงานของ c/side ปลั๊กอินดังกล่าวถูกออกแบบมาเพื่อรวบรวมข้อมูลสำคัญ เช่น ข้อมูลรับรองการเข้าสู่ระบบของผู้ดูแลระบบและบันทึกการทำงานต่างๆ แล้วส่งข้อมูลเหล่านี้ไปยังเซิร์ฟเวอร์ของผู้โจมตีในรูปแบบที่ซับซ้อน โดยทำให้ดูเหมือนเป็นการร้องขอไฟล์ภาพเพื่อหลีกเลี่ยงการตรวจจับ
แคมเปญนี้ยังมีการตรวจสอบสถานะของการโจมตีอย่างละเอียด เช่น การบันทึกสถานะหลังสร้างบัญชีผู้ดูแลระบบปลอม และการยืนยันว่าปลั๊กอินที่เป็นอันตรายได้ติดตั้งสำเร็จ
ผู้ดูแลระบบเว็บไซต์ WordPress ควรตรวจสอบความปลอดภัยของเว็บไซต์อย่างสม่ำเสมอ และระมัดระวังการติดตั้งปลั๊กอินจากแหล่งที่ไม่เชื่อถือ เพื่อป้องกันความเสี่ยงจากแคมเปญมัลแวร์ในลักษณะนี้
อ่านเพิ่มเติมที่นี่ – BPC
