Danh mục

Chiến dịch keylogger quay lại và ảnh hưởng 2.000 trang WordPress

29/01/2018 05:00:00

Hơn 2 ngàn trang WordPress đã bị nhiễm một tập lệnh độc hại có thể nhận cả keylogger và trình ứng dụng ngầm đào tiền kỹ thuật số CoinHive trên trình duyệt

Chiến dịch keylogger quay lại và ảnh hưởng 2.000 trang WordPress

Các chuyên gia tại Sucuri đã phát hiện chiến dịch này cho biết chiến dịch gần đây nhất có liên hệ với nhân tố đe dọa đằng sau chiến dịch xảy ra vào tháng 12-2017 đã ảnh hưởng hơn 5,500 trang blog WordPress. Cả hai đều sử dụng một keylogger hoặc một mã độc đào tiền kỹ thuật số mang tên cloudflare[.]solutions.

Dines Sinegubko, một nhà nghiên cứu phần mềm độc hại cao cấp tại Sucuri đã viết rằng: “Trong khi các cuộc tấn công mới chưa xuất hiện trên diện rộng như chiến dịch cloudflare[.]solutions gốc, nhưng tỷ lệ tái nhiễm cho thấy vẫn còn nhiều trang web thất bại trong việc bảo vệ chính chúng sau đợt tấn công đầu.

Từ tháng 12, tên miền cloudflare[.]solutions đã được gỡ bỏ. Nhưng nay, các tác nhân độc hại đằng sau chiến dịch gốc đã đăng ký các tên miền mới như cdjs[.]online, cdns[.]ws và msdns[.]online để host đoạn scripts độc hại được mở trên các trang WordPress.

Kẻ tấn công đã tiêm đoạn mã Scripts trên các trang WordPress với cơ chế bảo mật yếu và lỗi thời. Tập lệnh cdjs[.]online được tiêm nhiễm vào cơ sở dữ liệu WordPress hoặc vào tệp functions.php của chủ đề. Hắn nhắm mục tiêu vào cả hai trang đăng nhập quản trị và cả trang công khai (frontend).

HTLM bị làm mờ cả mã JavaScript, chẵng hạn như “googleanalytics.js” để tải các tập tin độc hại “startGoogleAnalytics” từ tên miền của kẻ tấn công.

Các chuyên gia đã xác định rằng jquery-3.2.1.min.js cũng tương tự như định dạng đào tiền ảo CoinHive mã hóa từ phiên bản trước trước đó. Theo công cụ tìm kiếm mã nguồn PublicWWW, số lượng các trang bị nhiễm bao gồm 129 trang từ tên miền cdns[.]ws và 103 trang từ cdjs[.]online. Phần lớn các tên miên bị lây nhiễm đều đươc gắn với msdns[.]online với hơn 1000 báo cáo lây nhiễm. Các chuyên gia cho biết nhiều trang Wordpress bổ sung đã bị tái nhiễm và giờ đây các tên miền mới cũng hoạt động.

Sucuri hẳn không còn mấy xa lạ với các loại mã script WordPress độc hại. Các chuyên gia trước đây đã xác định được các chiến dịch trước đây đã sử dụng tên miền cloudflare[.]solutions vào tháng 12, tháng 11 và tháng 4 năm 2017.

Xuân Dung

Chuyên đề

Tin nổi bật

Apple tung bản vá lỗ hổng Zero-Day đang bị khai thác - cập nhật thiết bị của bạn ngay lập tức

Apple tung bản vá lỗ hổng Zero-Day đang bị khai th...

Ham xem TV miễn phí - Hàng triệu người dùng Android sập bẫy mã độc từ các ứng dụng IPTV giả mạo

Ham xem TV miễn phí - Hàng triệu người dùng Androi...

Tin tặc đang dùng chính AI GEMINI để lên kịch bản lừa đảo - cuộc đua phishing chuyển sang kỷ nguyên mới

Tin tặc đang dùng chính AI GEMINI để lên kịch bản ...

Bóng ma tiện ích Chrome - hàng trăm extension giả mạo ai và công cụ doanh nghiệp đang đánh cắp dữ liệu

Bóng ma tiện ích Chrome - hàng trăm extension giả ...

Tin cùng chuyên mục

Xem tất cả »
Lỗ hổng Chrome cho phép tiện ích độc hại bắt cóc trợ lý AI Gemini để giám sát người dùng

Lỗ hổng Chrome cho phép tiện ích độc hại bắt cóc trợ lý AI Gemini để giám sát người dùng

27/02/2026 08:00:00

Nano Banana 2 ra mắt, tạo ảnh AI nhanh hơn, hỗ trợ 4K

Nano Banana 2 ra mắt, tạo ảnh AI nhanh hơn, hỗ trợ 4K

27/02/2026 12:00:00

Trẻ em dễ trở thành nạn nhân của mã độc lách luật

Trẻ em dễ trở thành nạn nhân của mã độc lách luật

26/02/2026 08:00:00

Apple bắt đầu mã hóa đầu cuối tin nhắn giữa iphone và Android

Apple bắt đầu mã hóa đầu cuối tin nhắn giữa iphone và Android

25/02/2026 08:00:00

Mã độc có thể lan truyền từ chatbot AI duyệt web bị hacker khai thác

Mã độc có thể lan truyền từ chatbot AI duyệt web bị hacker khai thác

25/02/2026 12:00:00

Lộ diện siêu mã độc ZERODAYRAT - biến điện thoại Android và iOs thành trạm giám sát thời gian thực

Lộ diện siêu mã độc ZERODAYRAT - biến điện thoại Android và iOs thành trạm giám sát thời gian thực

24/02/2026 08:00:00

Xem tất cả »
Zalo Button