แฮกเกอร์ใช้ปลั๊กอินแฝงติดตั้งมัลแวร์ในเว็บไซต์ WordPress
ในช่วงนี้ มัลแวร์ขโมยข้อมูลกลายเป็นภัยคุกคามสำคัญต่อความปลอดภัยออนไลน์ทั่วโลก ข้อมูลที่ถูกขโมยมักถูกนำไปใช้โจมตีระบบและเข้าถึงข้อมูลสำคัญ ตั้งแต่ปี 2023 แคมเปญชื่อ ClearFake ได้แพร่ระบาด โดยใช้แบนเนอร์ปลอมอ้างว่าเป็นการอัปเดตเว็บเบราว์เซอร์เพื่อกระจายมัลแวร์ขโมยข้อมูล
ในปี 2024 แคมเปญใหม่ชื่อ ClickFix ได้เกิดขึ้น ซึ่งมีลักษณะคล้ายกับ ClearFake แต่ครั้งนี้ใช้ข้อความแจ้งข้อผิดพลาดของซอฟต์แวร์หลอกให้ผู้ใช้ติดตั้งสคริปต์ PowerShell ที่ดาวน์โหลดมัลแวร์แทน
ปลั๊กอินมัลแวร์โจมตีเว็บไซต์ WordPress
เมื่อสัปดาห์ที่ผ่านมา GoDaddy รายงานว่า แฮกเกอร์ที่อยู่เบื้องหลังแคมเปญเหล่านี้ได้บุกรุกกว่า 6,000 เว็บไซต์ WordPress เพื่อติดตั้งปลั๊กอินมัลแวร์ ปลั๊กอินเหล่านี้จะแสดงแจ้งเตือนปลอมอ้างว่าเป็นการอัปเดตเบราว์เซอร์ และมีการฝังสคริปต์มัลแวร์ในโค้ด HTML ของเว็บไซต์เพื่อโหลดมัลแวร์เพิ่มเติมจาก Binance Smart Chain (BSC)
ปลั๊กอินเหล่านี้มักใช้ชื่อที่ดูเหมือนถูกต้อง เช่น Wordfence Security หรือ LiteSpeed Cache เพื่อปกปิดเจตนาที่แท้จริง รายชื่อปลั๊กอินที่พบมีดังนี้:
- LiteSpeed Cache
- Classic Custom CSS Injector
- MonsterInsights Classic
- Wordfence Security Classic
- SEO Booster Pro
- Universal Popup Plugin และอื่นๆ
นักวิจัยพบว่าผู้ก่อกวนอาจใช้ข้อมูลรับรองที่ถูกขโมยจากการโจมตีด้วย brute force, phishing หรือมัลแวร์เพื่อเข้าสู่ระบบและติดตั้งปลั๊กอินเหล่านี้โดยอัตโนมัติ
คำแนะนำสำหรับผู้ดูแลระบบ WordPress
หากพบการแจ้งเตือนปลอม คุณควรตรวจสอบรายการปลั๊กอินที่ติดตั้ง และลบปลั๊กอินที่ไม่คุ้นเคยทันที พร้อมเปลี่ยนรหัสผ่านของผู้ดูแลระบบเป็นรหัสที่แข็งแรงและไม่เคยใช้ที่อื่น เพื่อป้องกันการโจมตีเพิ่มเติม.
