Xuất hiện plugin UpdraftPlus giả mạo trên WordPress có thể tạo Backdoor

Plugin giả mạo web WordPress

Các hacker liên tục nghĩ ra các chiến lược mới nhằm lây nhiễm độc hại cho các trang web WordPress. Lần này, các nhà nghiên cứu đã phát hiện thấy chúng đang khai thác các plugin WordPress giả mạo giống với UpdraftPlus.

Các plugin này sở hữu chức năng backdoor có khả năng ẩn khỏi bảng điều khiển (dashboard) để tránh bị phát hiện.

Giả mạo plugin WordPress UpdraftPlus

Một bài đăng trên blog gần đây của Sucuri đã tiết lộ các plugin độc hại nhắm vào các trang web WordPress, đáng kể nhất là các plugin UpdraftPlus giả mạo.

Cụ thể, các nhà nghiên cứu nhận thấy rằng các plugin giả mạo có tên initatorseo hoặc updrat123 bắt chước chức năng sao lưu/ khôi phục của plugin WP UpdraftPlus. Trong khi đó, hệ thống siêu dữ liệu (metadata) được áp dụng sao chép phiên bản UpdraftPlus 1.16.16 được phát hành vào tháng 7 năm nay.

Những kẻ tấn công đang tích cực nhắm mục tiêu các trang web WordPress thông qua các plugin giả mạo này. Điều làm tăng thêm tính độc hại của chúng là khả năng ẩn khỏi bảng điều khiển.

Theo mặc định, plugin ẩn chính nó trong bảng điều khiển WordPress từ bất kỳ ai không sử dụng các trình duyệt với các chuỗi User-Agent cụ thể. Các chuỗi này thay đổi khác biệt đối với các plugin khác nhau.

Tuy nhiên, các plugin này vẫn có thể báo hiệu sự hiện diện của chúng cho những kẻ tấn công nếu những kẻ này thêm một tham số GET cụ thể vào các yêu cầu chẳng hạn như initactactivity hoặc testskey.

Plugin hoạt động như backdoor

Theo các nhà nghiên cứu, các plugin giả mạo này đóng vai trò là backdoor (cửa hậu) cho những kẻ tấn công nhằm tạo điều kiện cho chúng giành quyền kiểm soát máy chủ web. Khai thác các plugin này có thể cho phép hacker tải các tệp tùy ý lên các trang web bị ảnh hưởng.

Để thực hiện điều này, chúng sẽ sử dụng các yêu cầu POST bao gồm thông tin về URL vị trí tải xuống. Các tham số POST là duy nhất cho mọi plugin và cũng chỉ định tên tệp cũng như đường dẫn để ghi các tệp.

Trong quá trình phân tích, các nhà nghiên cứu đã phát hiện thấy những kẻ tấn công đang sử dụng backdoor để tải lên các web shell tại các vị trí ngẫu nhiên. Hơn nữa, những kẻ này cũng sử dụng backdoor để tải lên các tệp có tên tệp tùy ý vào thư mục gốc của trang. Chúng có thể khai thác thêm nhằm thực hiện các cuộc tấn công brute force trên các trang web khác.

Các plugin WordPress từ lâu đã luôn nằm trong tầm ngắm của những kẻ tấn công khi chúng muốn xâm nhập vào các trang web. Do đó, trước khi thiết lập một trang web WordPress, chủ sở hữu bắt buộc phải tự làm quen với các mối đe dọa bảo mật có thể có đối với trang web của mình, cũng như học cách để chống lại các cuộc tấn công đó.

LHN