Trong thời gian gần đây, các trang WordPress đang đối mặt với một cuộc tấn công bất ngờ khi hơn 6.000 trang đã bị xâm nhập để cài đặt các plugin độc hại nhằm phát tán phần mềm đánh cắp thông tin. Các phần mềm độc hại này ẩn mình dưới dạng các bản cập nhật phần mềm giả hoặc thông báo lỗi giả để lừa người dùng tải về.
Kể từ năm 2023, một chiến dịch có tên gọi ClearFake đã được sử dụng để hiển thị các banner cập nhật trình duyệt web giả trên các trang web bị xâm nhập, phân phối phần mềm độc hại. Đến năm 2024, một chiến dịch mới có tên ClickFix ra đời, hoạt động tương tự ClearFake nhưng giả vờ là các thông báo lỗi phần mềm với “bản sửa lỗi” đi kèm. Tuy nhiên, các bản sửa lỗi này thực chất là các script PowerShell cài đặt phần mềm đánh cắp thông tin.
Cuộc chiến với ClickFix ngày càng leo thang, khi những kẻ tấn công ngày càng thường xuyên tấn công các trang web để hiển thị các banner lỗi giả từ Google Chrome, Google Meet, Facebook và cả captcha. Tuần trước, công ty GoDaddy đã báo cáo rằng những kẻ tấn công liên quan đến ClearFake/ClickFix đã xâm nhập hơn 6.000 trang WordPress, cài đặt các plugin độc hại để hiện thị các thông báo giả.
Denis Sinegubko, một nhà nghiên cứu bảo mật từ GoDaddy, cho biết: “Những plugin này được thiết kế để trông vô hại đối với các quản trị viên trang web nhưng lại chứa script độc hại, hiển thị các thông báo cập nhật trình duyệt giả cho người dùng cuối.”
Những plugin độc hại này thường có tên tương tự các plugin hợp pháp, chẳng hạn như Wordfence Security và LiteSpeed Cache, hoặc sử dụng những cái tên không thật. Một plugin giả mạo khác đã được Sucuri phát hiện và được gọi là “Universal Popup Plugin.”
Khi được cài đặt, các plugin độc hại này sẽ kết nối các hành động của WordPress với các script JavaScript độc hại vào mã HTML của trang. Khi tải lên, script này sẽ cố gắng tải một tập tin JavaScript độc hại khác được lưu trữ trong một smart contract trên Binance Smart Chain, sau đó tải script ClearFake hoặc ClickFix để hiển thị các banner giả.
Thông qua các nhật ký truy cập máy chủ được phân tích bởi Sinegubko, các kẻ tấn công có thể sử dụng các thông tin đăng nhập quản trị viên bị đánh cắp để đăng nhập vào trang WordPress và cài đặt plugin một cách tự động. Cụ thể, thay vì truy cập trang đăng nhập của trang web, chúng chỉ thực hiện một yêu cầu POST HTTP để đăng nhập, cho thấy quá trình này được tự động hóa sau khi đã có thông tin đăng nhập.
Một khi đã đăng nhập, kẻ tấn công sẽ tải lên và cài đặt plugin độc hại. Mặc dù không rõ làm thế nào kẻ tấn công có được thông tin đăng nhập, nhà nghiên cứu lưu ý rằng chúng có thể thông qua các cuộc tấn công brute force trước đó, phishing, và phần mềm đánh cắp thông tin.
Nếu bạn đang quản lý một trang WordPress và nhận được báo cáo về các thông báo giả từ khách truy cập, nên nhanh chóng kiểm tra danh sách các plugin, loại bỏ những plugin nào không rõ nguồn gốc mà bạn không tự cài đặt. Hơn nữa, cũng nên đặt lại mật khẩu cho các tài khoản quản trị viên bằng cách sử dụng những mật khẩu duy nhất chỉ dùng cho trang của bạn.
