URL shortener, ปลั๊กอินปลอมและไฟล์ popuplink.js ที่เป็นอันตราย เป็น 3 อย่างที่พบว่าถูกใช้บน WordPress เพื่อแพร่กระจายมัลแวร์ตั้งแต่เดือนกรกฎาคม จากการเปลี่ยนเส้นทางผู้เข้าชมเว็บไซต์ที่ตกเป็นเหยื่อไปสู่เว็บไซต์หลอกลวงและโฆษณาต่าง ๆ
ทีมวิจัยจาก Sucuri ได้พบเมื่อวันที่ 17 สิงหาคม ว่ามีเว็บไซต์ที่มีมัลแวร์ popuplink.js อยู่ถึง 3,000 เว็บไซต์ เพียงแค่ผู้ใช้คลิกที่ลิงก์ใด ๆ บนหน้าเว็บที่ติดมัลแวร์ แท็บใหม่จะเปิดขึ้นตามคำสั่งของสคริปต์ที่เป็นอันตรายและโหลด URL ที่อยู่ภายในโค้ด เป็นการเริ่มต้นของการเปลี่ยนเส้นทางโดยใช้ shortener URL ชื่อ “tiny.cc” เมื่อคลิก ผู้เข้าชมเว็บไซต์จะพบหน้าเว็บที่มีโฆษณา หรือมีการหลอกลวง ทีมนักวิจัยกล่าวว่ารูปแบบการโจมตีแบบนี้ถูกพบครั้งล่าสุดเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ซึ่งเกี่ยวข้องกับปลั๊กอินที่เป็นอันตราย "injectbody" และ "injectscr" ทำให้เกิดป๊อปอัปที่น่ารำคาญ ด้วยการ inject code ที่เป็นอันตรายและทำให้ผู้ดูแลระบบ WordPress มองไม่เห็นปลั๊กอินในอินเทอร์เฟซ
ล่าสุดนี้พบบางเว็บไชต์ที่ได้รับผลกระทบมีการใช้ปลั๊กอินที่เรียกว่า "index” ร่วมกับตัวแปร "wp_cfg_index" และใช้ปลั๊กอินชื่อ "wp_update" ที่มีตัวแปร "wp_cfg_wp_update" นอกจากนี้เมื่อสังเกตหน้าเว็บที่ติดมัลแวร์จะพบว่ามีการพบสคริปต์สองตัวอยู่ในส่วน ของหน้าเว็บ ซึ่งหนึ่งในนั้นจะมีชื่อปลั๊กอินปลอมและอีกตัวจะมีชื่อของตัวแปรด้วย ไม่เพียงเท่านี้ plug-in ยังแอบตรวจสอบ user configuration เพื่อดูว่าคนที่กำลังเข้ามาดูเว็บเป็น site admin หรือไม่ ถ้าใช่มันจะทำการซ่อนตัวเอง
ทั้งนี้ทีมนักวิจัยได้แนะนำให้ผู้ดูแลเว็บไซต์ลบปลั๊กอินปลอมออกจากดิสก์โดยตรง, ลบผู้ใช้ที่ไม่รู้จักซึ่งมีสิทธิ์ของผู้ดูแลระบบและเปลี่ยนรหัสผ่าน
ที่มา : scmagazine
You must be logged in to post a comment.