เว็บไซต์ WordPress ถูกโจมตีเพื่อติดตั้งปลั๊กอินที่เป็นอันตราย ที่จะปลอมเป็นการอัปเดตซอฟต์แวร์ และ errors ปลอม เพื่อส่งมัลแวร์ที่ใช้สำหรับขโมยข้อมูล
ในช่วงสองสามปีที่ผ่านมา มัลแวร์ขโมยข้อมูลได้กลายมาเป็นภัยคุกคามต่อองค์กรทั่วโลก เนื่องจากข้อมูล credentials ที่ขโมยมาจะถูกนำไปใช้ในการโจมตีเครือข่าย และขโมยข้อมูลอื่น ๆ ต่อไป
ตั้งแต่ปี 2023 มีการใช้แคมเปญอันตรายที่เรียกว่า ClearFake เพื่อแสดงแบนเนอร์การอัปเดตเบราว์เซอร์ปลอมบนเว็บไซต์ที่ถูกโจมตี ซึ่งแบนเนอร์เหล่านี้จะแพร่กระจายมัลแวร์ที่ใช้สำหรับขโมยข้อมูล
ในปี 2024 มีการเปิดตัวแคมเปญใหม่ชื่อ ClickFix ซึ่งมีความคล้ายคลึงกับ ClearFake มาก แต่แอบอ้างว่าเป็นข้อความแสดง errors ของซอฟต์แวร์พร้อมวิธีการแก้ไขที่รวมอยู่ด้วย อย่างไรก็ตามวิธีการแก้ไขเหล่านี้เป็นสคริปต์ PowerShell ที่เมื่อดำเนินการแล้วจะดาวน์โหลด และติดตั้งมัลแวร์ที่ใช้สำหรับขโมยข้อมูล
แคมเปญ ClickFix กลายเป็นเรื่องปกติมากขึ้นในปีนี้ โดยผู้โจมตีทำการโจมตีเว็บไซต์เพื่อแสดงแบนเนอร์ที่เกี่ยวกับ errors ปลอมสำหรับ Google Chrome, การประชุม Google Meet และ Facebook รวมไปถึงหน้า captcha
ปลั๊กอิน WordPress ที่เป็นอันตราย
เมื่อสัปดาห์ที่แล้ว GoDaddy ระบุว่า ผู้โจมตี ClearFake/ClickFix ได้โจมตีเว็บไซต์ WordPress กว่า 6,000 แห่ง เพื่อติดตั้งปลั๊กอินที่เป็นอันตรายซึ่งจะแสดงการแจ้งเตือนปลอมที่เกี่ยวข้องกับแคมเปญเหล่านี้
Denis Sinegubko นักวิจัยจาก GoDaddy ระบุว่า ทีมงานด้านความปลอดภัยของ GoDaddy กำลังติดตามมัลแวร์ปลอมที่กระจายตัวผ่านปลั๊กอิน WordPress ในรูปแบบของ ClickFix (หรือเรียกอีกอย่างว่า ClearFake) ซึ่งเป็นมัลแวร์ที่แสดงการอัปเดตเบราว์เซอร์ปลอม
ปลั๊กอินที่มีความน่าเชื่อถือเหล่านี้ได้รับการออกแบบมาให้ดูเหมือนไม่เป็นอันตรายต่อผู้ดูแลเว็บไซต์ แต่ภายในมีสคริปต์ที่เป็นอันตรายฝังอยู่ ซึ่งจะส่งการแจ้งเตือนอัปเดตเบราว์เซอร์ปลอมไปยังผู้ใช้งาน
ปลั๊กอินที่เป็นอันตรายใช้ชื่อที่คล้ายคลึงกับปลั๊กอินที่น่าเชื่อถือ เช่น Wordfense Security และ LiteSpeed Cache ในขณะที่ปลั๊กอินอื่น ๆ ใช้ชื่อทั่วไปที่แต่งขึ้นเอง
รายชื่อปลั๊กอินที่เป็นอันตรายที่พบในแคมเปญนี้ระหว่างเดือนมิถุนายนถึงกันยายน 2024 ได้แก่
บริษัทด้านความปลอดภัยเว็บไซต์ Sucuri ยังสังเกตว่ามีปลั๊กอินปลอมที่ชื่อ Universal Popup Plugin เป็นส่วนหนึ่งของแคมเปญนี้ด้วย
เมื่อปลั๊กอินที่เป็นอันตรายนี้ถูกติดตั้ง มันจะเชื่อมต่อกับการทำงานต่าง ๆ ของ WordPress ขึ้นอยู่กับรูปแบบที่ใช้ เพื่อแทรกสคริปต์ JavaScript ที่เป็นอันตรายลงใน HTML ของเว็บไซต์
เมื่อสคริปต์นี้ถูกโหลด มันจะพยายามโหลดไฟล์ JavaScript ที่เป็นอันตรายเพิ่มเติม ซึ่งถูกเก็บไว้ในสมาร์ทคอนแทร็กต์บน Binance Smart Chain (BSC) จากนั้นไฟล์นี้จะโหลดสคริปต์ ClearFake หรือ ClickFix เพื่อแสดงแบนเนอร์ปลอม
จาก access logs ของเว็บเซิร์ฟเวอร์ที่วิเคราะห์โดย Sinegubko พบว่าผู้โจมตีดูเหมือนจะใช้ข้อมูล credentials ของผู้ดูแลระบบที่ขโมยมาในการเข้าสู่ระบบเว็บไซต์ WordPress และติดตั้งปลั๊กอินในรูปแบบอัตโนมัติ
ดังที่เห็นจากภาพด้านล่าง ผู้โจมตีจะเข้าสู่ระบบผ่าน HTTP POST request เพียงครั้งเดียว แทนที่จะเข้าหน้าล็อกอินของเว็บไซต์ก่อน ซึ่งแสดงให้เห็นว่ากระบวนการนี้ทำโดยอัตโนมัติหลังจากที่ได้รับข้อมูล credentials มาแล้ว
เมื่อผู้โจมตีเข้าสู่ระบบได้แล้ว พวกเขาจะอัปโหลด และติดตั้งปลั๊กอินที่เป็นอันตราย
แม้ว่าจะยังไม่ชัดเจนว่าผู้โจมตีได้ข้อมูล credentials มาได้อย่างไร แต่นักวิจัยระบุว่า อาจเกิดจากการโจมตีแบบ brute force attacks, phishing และมัลแวร์ขโมยข้อมูลในอดีต
หากเป็นผู้ดูแลเว็บไซต์ที่ใช้ WordPress และได้รับรายงานว่ามีการแสดงการแจ้งเตือนปลอมแก่ผู้เยี่ยมชมเว็บไซต์ ควรตรวจสอบรายการปลั๊กอินที่ติดตั้งทันที และลบปลั๊กอินที่ไม่ได้ติดตั้งออกด้วยตนเอง
หากพบปลั๊กอินที่ไม่รู้จัก ควรรีเซ็ตรหัสผ่านของผู้ใช้งานที่ได้รับสิทธิ์ผู้ดูแลระบบทันที และใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับเว็บไซต์
ที่มา : bleepingcomputer