Các nhà nghiên cứu bảo mật của GoDaddy tiết lộ họ đã vén bức màn bí mật về một chiến dịch phần mềm độc hại lớn mang tên DollyWay. Diễn ra từ năm 2016, cuộc tấn công mạng đã xâm phạm hơn 20.000 trang web chạy trên WordPress.
Các chuyên gia cho biết họ đã phát hiện "Bằng chứng liên kết nhiều chiến dịch phần mềm độc hại với một hoạt động lâu dài duy nhất." Có rất nhiều bằng chứng cho thấy những chiến dịch này là tác phẩm của một nhóm tội phạm mạng "độc đáo và tinh vi". Tất cả các chiến dịch đều chia sẻ "mẫu mã và phương pháp kiếm tiền".
Lưu ý rằng không hiếm khi các plugin WordPress bị lỗi có thể khiến hàng nghìn hoặc hàng triệu trang web gặp rủi ro. Mùa đông năm ngoái, một lỗ hổng trong Really Simple Security, một plugin WordPress tập trung vào bảo mật, đã khiến hơn bốn triệu trang web dễ bị tấn công. Vài tuần trước đó, hơn 3.000 trang web đã bị tin tặc nhắm mục tiêu. nhờ Popup Builder, một plugin WordPress cho phép bạn thiết kế các cửa sổ bật lên có thể tùy chỉnh cho điện thoại thông minh. Các tiện ích mở rộng này thường đóng vai trò là cổng cho tin tặc.
Những kẻ lừa đảo đằng sau DollyWay sử dụng hai mạng lưới kiếm tiền, bao gồm LosPollos, một mạng lưới gây tranh cãi thường liên quan đến các hoạt động đáng ngờ và VexTrio, một nhà môi giới lưu lượng truy cập độc hại. Theo báo cáo của các nhà nghiên cứu, đây là "một trong những mạng lưới liên kết tội phạm mạng lớn nhất được biết đến".
Như GoDaddy Security giải thích, một số trang web thậm chí còn phát tán các loại vi-rút nguy hiểm, chẳng hạn như Trojan ngân hàng hoặc phần mềm tống tiền, trên thiết bị của khách truy cập.
Phần mềm độc hại sử dụng một phương pháp tinh vi để lây nhiễm các trang web WordPress bằng cách phát tán mã độc hại của nó vào tất cả các plugin đang hoạt động và thêm một bản sao của plugin WPCode. Plugin này cho phép bạn sửa đổi chức năng của WordPress. Để ngăn chặn người quản trị phát hiện ra plugin, tin tặc không thiếu thủ đoạn. Ví dụ, họ có thể ẩn plugin khỏi danh sách tất cả tiện ích mở rộng được cài đặt trên trang web. Những tin tặc cẩn thận cũng loại bỏ mọi loại vi-rút cạnh tranh có thể cố gắng xâm phạm một trang web cùng với chúng.
Để tránh rơi vào bẫy của băng nhóm tội phạm mạng, tất cả quản trị viên được khuyến khích cẩn thận cài đặt tất cả các bản cập nhật và cập nhật plugin của họ ngay khi chúng khả dụng.
Nguồn: Bảo mật GoDaddy
Các chuyên gia cho biết họ đã phát hiện "Bằng chứng liên kết nhiều chiến dịch phần mềm độc hại với một hoạt động lâu dài duy nhất." Có rất nhiều bằng chứng cho thấy những chiến dịch này là tác phẩm của một nhóm tội phạm mạng "độc đáo và tinh vi". Tất cả các chiến dịch đều chia sẻ "mẫu mã và phương pháp kiếm tiền".
Lỗ hổng đã biết Nguồn gốc của cuộc tấn công mạng
Để xâm phạm các trang web, tin tặc đã sử dụng lỗ hổng n-day. Đây là những lỗ hổng mà các nhà nghiên cứu bảo mật đã biết nhưng vẫn chưa có bản vá. được triển khai hoặc cài đặt. Những lỗ hổng này đã được tội phạm mạng phát hiện trong mã của nhiều plugin và chủ đề WordPress.Lưu ý rằng không hiếm khi các plugin WordPress bị lỗi có thể khiến hàng nghìn hoặc hàng triệu trang web gặp rủi ro. Mùa đông năm ngoái, một lỗ hổng trong Really Simple Security, một plugin WordPress tập trung vào bảo mật, đã khiến hơn bốn triệu trang web dễ bị tấn công. Vài tuần trước đó, hơn 3.000 trang web đã bị tin tặc nhắm mục tiêu. nhờ Popup Builder, một plugin WordPress cho phép bạn thiết kế các cửa sổ bật lên có thể tùy chỉnh cho điện thoại thông minh. Các tiện ích mở rộng này thường đóng vai trò là cổng cho tin tặc.
Một mạng lưới lừa đảo rộng lớn
Sau khi bị tấn công, các trang web được sử dụng để bẫy người dùng Internet. Trong hầu hết các trường hợp, các trang web này chỉ chuyển hướng người truy cập đến các trang web lừa đảo trực tuyến, chẳng hạn như các trang web hẹn hò giả mạo, các trang web đánh bạc gian lận hoặc các nền tảng tiền điện tử độc hại. Tin tặc kiếm tiền dựa trên số lượng người dùng được chuyển hướng đến các trang web này.Những kẻ lừa đảo đằng sau DollyWay sử dụng hai mạng lưới kiếm tiền, bao gồm LosPollos, một mạng lưới gây tranh cãi thường liên quan đến các hoạt động đáng ngờ và VexTrio, một nhà môi giới lưu lượng truy cập độc hại. Theo báo cáo của các nhà nghiên cứu, đây là "một trong những mạng lưới liên kết tội phạm mạng lớn nhất được biết đến".
Như GoDaddy Security giải thích, một số trang web thậm chí còn phát tán các loại vi-rút nguy hiểm, chẳng hạn như Trojan ngân hàng hoặc phần mềm tống tiền, trên thiết bị của khách truy cập.
Một loại vi-rút đặc biệt dai dẳng
Rất khó kiểm soát, phần mềm độc hại được sử dụng trong chiến dịch DollyWay có thể lây nhiễm lại trang web ở mỗi lần tải trang. Nói cách khác, vi-rút được thiết kế để cài đặt lại hoặc tự kích hoạt lại bất cứ khi nào một trang trên trang web được truy cập.Phần mềm độc hại sử dụng một phương pháp tinh vi để lây nhiễm các trang web WordPress bằng cách phát tán mã độc hại của nó vào tất cả các plugin đang hoạt động và thêm một bản sao của plugin WPCode. Plugin này cho phép bạn sửa đổi chức năng của WordPress. Để ngăn chặn người quản trị phát hiện ra plugin, tin tặc không thiếu thủ đoạn. Ví dụ, họ có thể ẩn plugin khỏi danh sách tất cả tiện ích mở rộng được cài đặt trên trang web. Những tin tặc cẩn thận cũng loại bỏ mọi loại vi-rút cạnh tranh có thể cố gắng xâm phạm một trang web cùng với chúng.
Để tránh rơi vào bẫy của băng nhóm tội phạm mạng, tất cả quản trị viên được khuyến khích cẩn thận cài đặt tất cả các bản cập nhật và cập nhật plugin của họ ngay khi chúng khả dụng.
Nguồn: Bảo mật GoDaddy
