เมื่อเร็ว ๆ นี้มีการตรวจพบแคมเปญมัลแวร์ครั้งใหญ่ที่ส่งผลกระทบต่อเว็บไซต์ WordPress กว่า 1,000 เว็บไซต์ โดยมีการวาง Backdoor JavaScript ที่เป็นอันตราย (malicious JavaScript) ลงบนเว็บ WordPress ถึง 4 ที่ด้วยกัน
มัลแวร์นี้จะเปลี่ยนเส้นทางผู้เข้าชมไปยังเว็บไซต์ฟิชชิ่งและไซต์หลอกลวง ซึ่งส่งผลกระทบต่อความน่าเชื่อถือของเว็บไซต์และอาจก่อให้เกิดความเสียหายต่อผู้ใช้งาน
ตำแหน่งที่วาง Backdoor ทั้ง 4 ที่ได้แก่
- Backdoor 1 – มาจากการติดตั้งปลั๊กอินปลอมที่ชื่อว่า “Ultra SEO Processor”
- Backdoor 2 – มาจากการวาง JavaScript ที่เป็นอันตรายลงใน wp-config.php
- Backdoor 3 – ใส่คีย์ SSH ลงในไฟล์ ~/.ssh/authorized_keys ทำให้แฮกเกอร์สามารถควบคุมการโจมตีจากระยะไกลได้
- Backdoor 4 – ออกแบบมาเพื่อสั่งโจมตีระยะไกลและดึงโหลดพิเศษจาก gsocket[.]io ซึ่งมีความน่าจะเป็นที่จะเปิดเชลล์ย้อนกลับ (reverse shell) เพื่อให้ผู้โจมตีสามารถควบคุมระบบเป้าหมายได้
และก็มีอีกแคมเปญหนึ่ง ที่มีการโจมตีด้วย JavaScript แบบเดียวกัน คาดว่ามีเว็บกว่า 35,000 เว็บที่โดน ซึ่ง “สามารถแย่งการควบคุมหน้าต่างเบราว์เซอร์ของผู้ใช้ได้อย่างสมบูรณ์” จากนั้นก็เปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์ไปยังเว็บพนันจีน
ดูๆ แล้วการโจมตีแคมเปญนี้น่าจะมาจากจีน เพราะหน้า Landing Page นั้นเป็นเว็บพนันที่ชื่อว่า ‘Kaiyun’
แล้วจากการสืบต่อไปอีก ก็ไปสอดคล้องกับรายงานล่าสุดจาก Group-IB ซึ่งพบการโจมตีที่ชื่อว่า ScreamedJungle การโจมตีใช้หลักการเดียวกันเลยคือ แทรกโค้ด JavaScript ชื่อว่า Bablosoft JS เข้าไปในเว็บ Magento จากนั้นก็รวบรวมรายชื่อผู้ใช้ที่เข้าเว็บไซต์ เและในตอนนี้คาดว่ามีเว็บอีคอมเมิร์ซมากกว่า 115 แห่งได้รับผลกระทบจนถึงปัจจุบัน
ไม่ว่าคุณจะใช้ WordPress หรือ Magento การโจมตีในครั้งนี้แสดงให้เห็นถึงความสำคัญของการดูแลรักษาความปลอดภัยของเว็บไซต์อย่างต่อเนื่อง หากคุณกำลังมองหาโซลูชันที่ปลอดภัย และมีการดูแลตลอด 24 ชั่วโมง hostatom ขอนำเสนอ
บริการ WordPress Hosting ที่มาพร้อม imunify 360 ที่มีระบบป้องกันมัลแวร์, และการสำรองข้อมูลอัตโนมัติ เพื่อให้เว็บไซต์ของคุณปลอดภัยในทุกสถานการณ์
ที่มา – The Hacker News
