Quản trị viên trang web nên vá tất cả các plugin, phần mềm WordPress và các máy chủ back-end càng sớm càng tốt.

Phần mềm độc hại của trình tải xuống được gọi là Gootloader đang đầu độc các trang web trên toàn cầu bằng cách lợi dụng các trang web WordPress và đưa vào chúng hàng trăm trang nội dung giả mạo.

Các nhà nghiên cứu của eSentire đã phát hiện ra một chiến dịch Gootloader vào tháng 12, xâm nhập vào hàng chục trang web hợp pháp liên quan đến ngành khách sạn, bán lẻ cao cấp, giáo dục, chăm sóc sức khỏe, âm nhạc và nghệ thuật thị giác, v.v. Tất cả các trang web bị xâm phạm đều chạy trên WordPress.

“Trò chơi cuối cùng của những kẻ đe dọa là lây nhiễm sang các chuyên gia kinh doanh, nói tiếng Anh, Đức và Hàn Quốc,” theo một bài đăng trên chiến dịch được phát hành hôm thứ Năm. “Phương thức hoạt động của họ là lôi kéo một chuyên gia kinh doanh vào một trong các trang web bị xâm nhập, sau đó yêu cầu họ nhấp vào một liên kết, dẫn đến Gootloader, cố gắng truy xuất tải trọng cuối cùng có thể là ransomware, trojan ngân hàng hay công cụ xâm nhập / kẻ đánh cắp thông tin xác thực. ”

Khi thực hiện phản ứng sự cố tại một công ty luật, các nhà phân tích của eSentire đã thấy mã độc được ghi vào Windows Registry – một chiến thuật phần mềm độc hại phổ biến, không có bộ lọc. Sau khi điều tra sâu hơn, sự lây nhiễm hóa ra bắt nguồn từ một nhân viên “đang tìm kiếm trên Internet các thỏa thuận kinh doanh mẫu giao dịch với các trợ lý bác sĩ (PA) hành nghề y khoa ở California.”

Nhân viên này đã tìm thấy một trang web được xếp hạng cao nhất với mục đích là một diễn đàn Hỏi & Đáp, trong đó đề cập đến một liên kết đến một thỏa thuận mẫu cho các Khu bảo vệ làm việc tại California; nhưng, khi một người cố gắng mở cái gọi là “tài liệu”, nó đã thực thi Gootloader.

Trong một sự cố khác, một nhân viên của một công ty tư vấn đang tìm kiếm trên mạng về Hiệp định Paris – hiệp ước quốc tế về biến đổi khí hậu. Khi nhà tư vấn cố gắng tải xuống thỏa thuận từ một trang web hợp pháp, người đó đã nhận được Gootloader thay thế.

Tuy nhiên, một vụ việc khác liên quan đến một nhân viên của một công ty pháp lý khác chuyên về lĩnh vực chăm sóc sức khỏe. Lần này, nhân viên đã tìm kiếm trên web về thỏa thuận phụ của Ucc-1, một thỏa thuận liên quan đến các khoản vay theo Bộ luật Thương mại Thống nhất. Phần mềm độc hại Gootloader trong trường hợp này được lưu trữ trên trang web của trung tâm phục hồi chứng nghiện.

Sau khi điều tra, nó chỉ ra rằng các chiến dịch gần giống hệt nhau sử dụng cùng một kỹ thuật đánh tráo bài trên diễn đàn Hỏi & Đáp đã được phát hiện vào tháng 10 bởi công ty an ninh mạng CheckMal của Hàn Quốc (nhắm mục tiêu đến những người nói tiếng Hàn Quốc); và vào tháng 11 bởi Malwarebytes (nhắm mục tiêu đến những người nói tiếng Đức).

Trong khi đó, nghiên cứu từ Sophos vào đầu tuần này đã trình bày chi tiết sự phát triển của Gootloader trong việc cung cấp nhiều loại tải trọng, bao gồm ransomware và Cobalt Strike.

Các trang web WordPress bị xâm nhập

Nói chung, eSentire đã phát hiện ra hàng chục trang web WordPress đã bị xâm nhập để phát tán các cuộc tấn công. Trong mọi trường hợp, các trang web được tải lên bằng các trang blog không có thật.

ESentire cho biết không rõ ban đầu các trang web đã bị xâm nhập như thế nào; nhưng, nó có thể xảy ra thông qua một plugin dễ bị tấn công ; hoặc, trang web WordPress có thể chưa được vá, các nhà nghiên cứu lưu ý. Cũng có thể những kẻ tấn công đã xâm nhập qua một máy chủ không an toàn.

Trong mọi trường hợp, nội dung của các trang web đã bị giả mạo và thêm vào đồng thời bị tiêm mã độc bắt đầu từ khoảng tháng 12.

Các nhà nghiên cứu giải thích: “Các trang web WordPress bị xâm nhập đã được tiêm vào hàng chục đến hàng trăm bài đăng trên blog.
Các nhà phân tích nhận thấy một số tính năng là tiêu chuẩn trên các bài đăng blog được đưa vào; chẳng hạn, tiêu đề của tất cả chúng đều chứa từ “thỏa thuận”.

“Tiêu đề này không phải lúc nào cũng liên quan đến một thỏa thuận có ý nghĩa,” theo cuộc điều tra. “Ví dụ, đôi khi nó chỉ bao gồm một miền web làm tiêu đề, tình cờ có từ ‘thỏa thuận’ trong đó.”

Nội dung cũng bao gồm các câu hoàn chỉnh liên quan đến chủ đề luật, được đặt theo thứ tự ngẫu nhiên, vô nghĩa, theo bài đăng. Khi được cơ sở hạ tầng bảo mật và máy ảo (VM) truy cập, các bài đăng trên blog gobbledygook bị chèn ny sẽ hiển thị – nhưng khi máy chủ back-end của kẻ tấn công phát hiện ra nạn nhân tiềm năng, bản thân bài đăng trên blog này sẽ bị ẩn đằng sau các bài đăng trên diễn đàn giả mạo đã đề cập trước đó. Các lớp phủ đó phân phát các liên kết độc hại dẫn đến Gootloader.

“Các tìm kiếm chính xác của Google về các câu [bài đăng trên blog] đã dẫn đến nhiều blog bị xâm phạm hơn, cũng như một số nội dung nguồn hợp pháp,” họ nói. “[Chúng tôi] vẫn chưa phát hiện ra hai blog có cùng nội dung.”

Và cuối cùng, tất cả các bài đăng trên blog bị xâm phạm trên một trang web bị xâm phạm nhất định đã được lan truyền trong tháng 12.

Các nhà nghiên cứu giải thích: “Do đó, đôi khi chúng xuất hiện trong thư mục được tiêm là / 2020, nếu không phải là thư mục / 2020/12 được tiêm vào. “Các thay đổi trong cấu trúc của thư mục có thể là do cấu trúc cơ bản của trang WordPress hợp pháp.”

“Các trang web bị xâm nhập đóng vai trò là nền tảng cho chiến dịch Gootloader, cung cấp dịch vụ lưu trữ độc hại và tối ưu hóa công cụ tìm kiếm (SEO) cho các tác nhân đe dọa,. “Điều này cho phép các tác nhân đe dọa cung cấp các tải trọng độc hại, tùy ý cho các chuyên gia kinh doanh không nghi ngờ.”

Cách tránh bị tấn công bởi Gootloader

Thực tế đáng tiếc với những kiểu tấn công này là do nội dung độc hại đang được lưu trữ trên các trang web hợp pháp, rất khó để xác định mối đe dọa như một người lướt trang web bình thường. Theo eSentire, để tránh trở thành nạn nhân của những chiến dịch như vậy, nạn nhân nên chú ý đến những gì họ đang tải xuống từ internet.

“Nếu bạn tải xuống một tài liệu từ Internet nhưng bạn được cung cấp một tệp JavaScript, thì đừng mở nó,” theo các nhà nghiên cứu. “Ngay cả các tài liệu Word và Excel hợp pháp từ internet cũng có thể dẫn đến phần mềm độc hại cho trình tải.”

Quản trị viên cũng có thể sử dụng quy tắc Giảm bề mặt tấn công của Windows bằng cách chặn JavaScript và VBscript khởi chạy nội dung đã tải xuống; 

và

Đào tạo nâng cao nhận thức của người dùng về cách kiểm tra URL đầy đủ trước khi tải xuống tệp để đảm bảo URL khớp với nguồn (ví dụ: Microsoft Teams phải đến từ miền Microsoft) luôn là một ý kiến ​​hay.

Theo TP / BQT Security365

Nguyễn Trần Tường Vinh / CEI