เว็บไซต์ WordPress กว่า 6,000 แห่งถูกแฮ็กติดตั้งปลั๊กอินขโมยข้อมูล

เว็บไซต์ WordPress กำลังถูกแฮ็กเพื่อติดตั้งปลั๊กอินที่เป็นอันตราย ซึ่งแสดงอัปเดตซอฟต์แวร์ปลอมและข้อผิดพลาด เพื่อผลักดันให้ผู้ใช้ติดตั้งมัลแวร์ขโมยข้อมูล

ตั้งแต่ปี 2023 มีการรณรงค์ชื่อ ClearFake ที่แสดงแบนเนอร์อัปเดตเบราว์เซอร์ปลอม และในปี 2024 มีแคมเปญ ClickFix ที่แสดงข้อความข้อผิดพลาดปลอม พร้อมวิธีแก้ไขที่เป็นอันตราย โดยใช้สคริปต์ PowerShell เพื่อติดตั้งมัลแวร์

GoDaddy รายงานว่าผู้โจมตี ClearFake/ClickFix แฮ็กเว็บไซต์ WordPress กว่า 6,000 แห่ง โดยติดตั้งปลั๊กอินปลอมที่มีชื่อคล้ายกับปลั๊กอินที่ถูกต้องตามกฎหมาย เช่น Wordfense Security และ LiteSpeed Cache รวมถึง "Universal Popup Plugin"

ปลั๊กอินเหล่านี้จะแทรกสคริปต์ JavaScript อันตรายลงใน HTML ของเว็บไซต์ เมื่อโหลด สคริปต์จะดาวน์โหลดไฟล์ JavaScript ที่เป็นอันตรายเพิ่มเติมจาก Binance Smart Chain เพื่อแสดงแบนเนอร์ปลอม

รายชื่อปลั๊กอินที่เป็นอันตรายที่พบในแคมเปญนี้ระหว่างเดือนมิถุนายนถึงกันยายน 2024 ได้แก่:

ผู้โจมตีใช้ข้อมูลประจำตัวผู้ดูแลระบบที่ถูกขโมยมาล็อกอินเข้าสู่เว็บไซต์โดยอัตโนมัติ ซึ่งอาจเกิดจากการโจมตีแบบ brute force หรือ phishing

หากคุณเป็นผู้ดูแลเว็บไซต์ WordPress ควรตรวจสอบและลบปลั๊กอินที่ไม่รู้จัก รวมถึงรีเซ็ตรหัสผ่านของผู้ดูแลระบบให้เป็นรหัสที่ไม่ซ้ำกันเพื่อป้องกันการโจมตีเพิ่มเติม

ข้อมูลจาก https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/