Tin Ngành

Một chiến dịch tấn công mạng tinh vi mới đây đã được phát hiện, nhắm vào các website sử dụng WordPress để phát tán phần mềm độc hại và cài đặt mã độc điều khiển từ xa (Remote Access Trojan – RAT) vào thiết bị của người truy cập. Kẻ tấn công sử dụng mã PHP được làm rối tinh vi để âm thầm cài đặt mã độc và duy trì quyền kiểm soát lâu dài đối với hệ thống bị nhiễm

Chiến dịch tấn công được thực hiện như thế nào?

Theo báo cáo điều tra, các hacker khai thác những website WordPress đã bị xâm nhập để chèn mã độc vào các tệp PHP hợp pháp như header.php, hoặc thêm tệp giả mạo như man.php. Các tệp này hoạt động như một “dropper” – trình tải mã độc – sử dụng kỹ thuật làm rối mã (obfuscation) nhằm che giấu hành vi độc hại.

Một khi có người truy cập vào website, đoạn mã độc trong “header.php” sẽ:

  • Kiểm tra IP người dùng để đảm bảo không gửi mã độc cho IP trùng lặp (giảm khả năng bị phát hiện).
  • Tạo file “.bat” (batch) độc hại có tên “update.bat”.
  • Ép trình duyệt tải file này về máy người truy cập bằng cách chèn nó vào header phản hồi HTTP.

Khi người dùng vô tình thực thi “update.bat”, kịch bản sau diễn ra tự động:

  • Tạo thư mục trong “%APPDATA%” để lưu trữ mã độc.
  • Dùng PowerShell để tải về một tập tin nén (psps.zip) từ máy chủ điều khiển từ xa.
  • Giải nén và kích hoạt tệp “client32.exe” – chính là Remote Access Trojan (RAT).
  • Tự thêm vào mục khởi động cùng Windows qua registry (Run key).
  • Xoá file “.zip” để che giấu dấu vết, nhưng giữ lại RAT để tiếp tục hoạt động.

Khi đã cài đặt thành công, RAT sẽ âm thầm kết nối tới máy chủ điều khiển (C2) qua địa chỉ IP: 5.252.178.123 cổng 443, sẵn sàng nhận lệnh điều khiển từ xa.

Vì sao chiến dịch này đặc biệt nguy hiểm?

  • Mã độc sử dụng nhiều kỹ thuật che giấu, lọc IP truy cập và tự động xóa dấu vết sau khi lây nhiễm.
  • Người dùng không cần tải file từ email hay USB – chỉ cần truy cập website đã bị nhiễm là có thể dính mã độc.
  • RAT được thiết kế để duy trì hoạt động qua các lần khởi động máy.
  • Tin tặc có thể theo dõi người dùng, đánh cắp dữ liệu, cài thêm phần mềm độc hại, mã hóa dữ liệu đòi tiền chuộc, hoặc sử dụng thiết bị làm bàn đạp tấn công hệ thống nội bộ.

Khuyến nghị của các chuyên gia

Đối với người dùng:

  • Không tải hoặc mở bất kỳ file lạ nào xuất hiện khi truy cập trình duyệt.
  • Luôn bật Windows Defender, cập nhật phần mềm diệt virus và không tắt tính năng UAC.
  • Kiểm tra hệ thống nếu nghi ngờ bị lây nhiễm (dấu hiệu như file lạ trong %APPDATA% hoặc tiến trình không rõ ràng).
  • Thường xuyên kiểm tra máy tính bằng các phần mềm diệt virus đáng tin cậy.

Đối với quản trị viên website:

  • Kiểm tra toàn bộ mã nguồn, đặc biệt các tệp như header.php, functions.php, và các thư mục theme/plugin.
  • Giám sát thư mục wp-content/mu-plugins/uploads/: vô hiệu hóa thực thi PHP nếu không cần thiết.
  • Cập nhật CMS, plugin, theme lên phiên bản mới nhất, xóa những plugin không sử dụng.
  • Thiết lập giám sát thay đổi tệp và cảnh báo nếu phát hiện file PHP bất thường.
  • Cài đặt WAF (Web Application Firewall) và plugin bảo mật như Wordfence, Sucuri, v.v.
  • Thường xuyên quét mã độc và theo dõi nhật ký truy cập để phát hiện các hành vi bất thường.

Chiến dịch tấn công này một lần nữa cho thấy việc bảo mật website không thể bị xem nhẹ. WordPress, với mức độ phổ biến cao, đang trở thành mục tiêu yêu thích của tin tặc nhằm phát tán phần mềm độc hại đến hàng loạt người dùng. Việc duy trì biện pháp bảo mật chủ động là yếu tố sống còn để bảo vệ không chỉ chính website của bạn mà còn là sự an toàn cho cộng đồng người dùng Internet.

Theo Cyber Press

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *