WordPress กว่า 6,000 แห่งถูกโจมตี หลอกติดตั้ง Plugin เพื่อขโมยข้อมูล

จากแหล่งข่าว Bleeping Computer ชี้ให้เห็นว่าเว็บไซต์ที่ใช้ WordPress จำนวนมากได้ถูกคุกคามโจมตี ด้วยวิธีการหลอกให้ติดตั้ง Plugin ที่เป็น Malicious โดยหลอกว่าเป็นซอฟต์แวร์อัปเดตหรือ Error เพื่อใส่มัลแวร์ขโมยข้อมูลไปแทน

ช่วงไม่กี่ปีที่ผ่านมานี้ มัลแวร์ที่ทำหน้าที่ขโมยข้อมูลความลับองค์กรออกมานั้นเริ่มเป็นรูปยอดนิยมในการโจมตีไปทั่วโลก อาทิ ClearFake ที่ถูกใช้แสดงอัปเดตเว็บเบราว์เซอร์ปลอม หรือ ClickFix ที่เป็นข้อความแจ้งเตือนปลอมเพื่อให้แก้ไขปัญหาซอฟต์แวร์ที่ใช้งานอยู่ เพื่อหลอกให้ติดตั้งมัลแวร์สำหรับขโมยข้อมูลออกมา

ล่าสุด GoDaddy ได้รายงานว่าเริ่มเห็นเหตุการณ์ ClickFix ในรูปแบบใหม่ โดย Threat Actor ได้ใช้วิธีโจมตีไปยังเว็บไซต์ WordPress กว่า 6,000 แห่ง เพื่อหลอกให้ติดตั้ง Malicious Plugin ที่จะแสดงการแจ้งเตือนปลอมไปยังผู้ใช้ปลายทาง เพื่อให้อัปเดตเบราว์เซอร์ ซึ่งแท้จริงแล้วเป็นมัลแวร์เพื่อขโมยข้อมูล

โดยชื่อของ Plugin ก็จะคล้าย ๆ กับ Plugin ที่ถูกต้องตามกฎหมายอีกด้วย เช่น Wordfense Security หรือ LiteSpeed Cache เป็นต้น โดยลิสต์ Plugin ที่พบว่ามีลักษณะแคมเปญการโจมตีดังกล่าวในช่วงมิถุนายนถึงกันยายน 2024 ที่ผ่านมา มีดังต่อไปนี้

LiteSpeed Cache Classic	Custom CSS Injector
MonsterInsights Classic	Custom Footer Generator
Wordfence Security Classic	Custom Login Styler
Search Rank Enhancer	Dynamic Sidebar Manager
SEO Booster Pro	Easy Themes Manager
Google SEO Enhancer	Form Builder Pro
Rank Booster Pro	Quick Cache Cleaner
Admin Bar Customizer	Responsive Menu Builder
Advanced User Manager	SEO Optimizer Pro
Advanced Widget Manage	Simple Post Enhancer
Content Blocker	Social Media Integrator

หากใครให้บริการผ่าน WordPress แล้วได้รับแจ้งรายงานว่ามี Alert ปลอมแสดงผลขึ้นมา แนะนำว่าให้รีบเร่งตรวจสอบเพื่อนำเอา Plugin อาจเป็น Malicious ออกไป และเมื่อพบแล้วก็ควรจะปรับเปลี่ยนรหัสผ่านโดยเฉพาะรหัสผู้ดูแลเพื่อเพิ่มความมั่นคงปลอดภัยมากขึ้น

ที่มา: https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/