Việc truy cập các trang web có uy tín từ lâu đã được xem là một phương pháp an toàn để tránh xa lừa đảo và mã độc. Tuy nhiên, một lỗ hổng bảo mật nghiêm trọng mới đây đã cho phép tin tặc biến hàng chục ngàn website hợp pháp thành các trung tâm phát tán mã độc nguy hiểm, thông qua việc giả mạo trang cập nhật Google Chrome.
Chiến Dịch Tấn Công Giả Mạo Cập Nhật Google Chrome Trên WordPress
Theo báo cáo từ công ty bảo mật c/side, các tin tặc đã tìm ra cách để xâm nhập vào nhiều website WordPress phổ biến và biến chúng thành kênh phát tán mã độc. c/side cho rằng tin tặc có thể truy cập vào các trang web này thông qua những plugin lỗi thời hoặc chưa được vá các lỗ hổng bảo mật đã biết.
Kỹ Thuật Tấn Công: Lợi Dụng Lỗ Hổng Plugin WordPress
Nếu người dùng truy cập vào một trong những website WordPress đã bị xâm nhập, trang chính sẽ không tải mà thay vào đó, trình duyệt sẽ tự động chuyển hướng họ đến một trang cập nhật Google Chrome giả mạo. Trang này sẽ thông báo rằng trình duyệt của bạn đã lỗi thời và yêu cầu cài đặt một bản cập nhật để có thể xem nội dung của website.
Giao diện trang web giả mạo yêu cầu cập nhật Google Chrome với nút "Update" lớn
Hậu Quả Nghiêm Trọng: Mã Độc AMOS và SocGholish
Khi người dùng nhấp vào nút “Update” trên trang giả mạo này, họ sẽ tải về một trong hai gói mã độc nguy hiểm. Đối với người dùng hệ điều hành macOS, mã độc AMOS sẽ được cài đặt. Trong khi đó, người dùng Windows sẽ nhận chủng mã độc SocGholish. Mã độc AMOS có khả năng đánh cắp thông tin cá nhân và dữ liệu nhạy cảm từ máy tính của bạn. Ngược lại, SocGholish hoạt động như một nền tảng trung gian để tải xuống thêm các loại mã độc khác, bao gồm cả ransomware (mã độc tống tiền).
Phạm Vi Ảnh Hưởng và Biện Pháp Phòng Tránh
Sau khi phát hiện các cuộc tấn công ban đầu, c/side đã tiến hành nghiên cứu sâu hơn để xác định mức độ lan rộng của chiến dịch. Tại thời điểm báo cáo, công ty này cho biết đã có hơn 10.000 website WordPress bị lây nhiễm, và có khả năng còn nhiều trang web khác chưa được phát hiện.
Vì chiến dịch mã độc này có thể nhắm mục tiêu vào cả những website chưa từng có lịch sử hoạt động độc hại, điều cực kỳ quan trọng là người dùng cần luôn cảnh giác, ngay cả khi truy cập vào những trang web trước đây đã được tin cậy. Google Chrome sẽ không bao giờ yêu cầu bạn cập nhật trình duyệt khi bạn đang truy cập một trang web cụ thể. Do đó, nếu bạn thấy một trang cập nhật tương tự như hình ảnh trên, đó chắc chắn là một dấu hiệu lừa đảo. Đối với các chủ sở hữu website WordPress, đây là thời điểm thích hợp để đảm bảo tất cả các plugin của bạn đều đã được cập nhật lên phiên bản mới nhất.
Kết Luận
Chiến dịch lừa đảo thông qua việc giả mạo cập nhật Google Chrome trên các website WordPress bị tấn công là một mối đe dọa thực sự, đòi hỏi sự cảnh giác cao độ từ cả người dùng cuối và quản trị viên website. Việc hiểu rõ cách thức hoạt động của tin tặc và áp dụng các biện pháp phòng ngừa đơn giản như kiểm tra nguồn cập nhật hay duy trì phần mềm luôn được cập nhật là chìa khóa để bảo vệ thông tin cá nhân và hệ thống của bạn. Hãy luôn cảnh giác và không bao giờ tải xuống phần mềm từ các nguồn không đáng tin cậy.
Nguồn tham khảo:
