WordPress มัลแวร์ ‘Wp-Vcd’ กลับมาโจมตีอีกครั้งแล้ว

คงจะปฏิเสธไม่ได้ว่า WordPress เป็นเครื่องมือยอดฮิตที่เปิดโอกาสให้ผู้คนที่สนใจสร้างเว็บเป็นของตนเองพัฒนาเว็บได้อย่างง่าย แม้ไม่มีทักษะด้านเขียนโปรแกรมเลยก็ตาม อย่างไรก็ดีมันก็ยังมีภัยร้ายซ่อนอยู่ ผู้ใช้งานจึงควรระมัดระวังตัวเพิ่มขึ้นเนื่องจากมัลแวร์ wp-vcd กลับมาโจมตีผู้ใช้งานอีกครั้งหนึ่ง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ปกติของ WordPress จากนั้นจะเพิ่มผู้ใช้งานสิทธิ์ผู้ดูแลอย่างลับๆ และยกระดับการเข้าควบคุมเว็บที่ติดมัลแวร์ตัวนี้ นั่นอาจทำให้ธุรกิจของคุณได้รับผลกระทบอย่างไม่คาดคิด

Manuel D’Orso นักวิจัยด้านความมั่นคงปลอดภัยได้ค้นพบมัลแวร์นี้เป็นครั้งแรก และพบว่าในเวอร์ชันแรกของมัลแวร์จะถูกโหลดเข้ามาโดยไฟล์การ include (วิธีการเรียกโค้ดส่วนอื่นมาใช้ เช่นในภาษาโปรแกรมมิ่งต่างๆ)ไฟล์ที่ชื่อว่า wp-vcd.php นั่นจึงเป็นที่มาของชื่อมัลแวร์ตัวนี้ จากนั้นมันจะแทรกตัวเองลงไปในไฟล์หลักของ WordPress เช่น functions.php และ class.wp.php การโจมตีไม่ได้กินวงกว้างนักแต่ก็เกิดขึ้นเรื่อยๆ ตลอดเดือนที่ค้นพบ

wp-vcd จ้องเล่นงานธีมเก่าๆ ของ WordPress

เมื่อสัปดาห์ที่ผ่านมาทีมงานจาก Sucuri ผู้ให้บริการด้านความมั่นคงปลอดภัยเว็บไซต์ได้ติดตามความแตกต่างของมัลแวร์ตัวนี้ที่กลับมาโจมตีอีกครั้งพบว่ามันจะฝังโค้ดเข้าไปในไฟล์ Twentyfifteen และ Twentysixteen ซึ่งก็คือไฟล์ธีมเก่าของ WordPress CMS ช่วงปี 2015 และ 2016 ซึ่งยังมีไฟล์นี้อยู่ในหลายไซต์แม้ว่าจะปิดใช้งานอยู่ก็ตาม อย่างไรก็ตามมันไม่มีการซ่อนตัวเองโดยการเข้ารหัสตัวเองหรือมีฟังก์ชันที่ทำให้สับสน ผู้โจมตีไม่ได้ใส่ใจเรื่องนี้มากนัก หากมัลแวร์เข้าไปได้แล้วมันจะสร้างผู้ดูแลระบบเพิ่มชื่อ 100010010 เพื่อเป็นบัญชี Backdoor ให้ผู้โจมตีสามารถดำเนินการโจมตีได้ต่อเนื่องในวันหลัง ผู้โจมตีใช้ประโยชน์จากธีมหรือ Plugin เก่าๆ เพื่ออัปโหลดมัลแวร์เข้าไปโจมตี ผู้ใช้งานสามารถป้องกันตัวเองได้โดยไม่เก็บไฟล์ธีมเก่าที่ไม่ได้ใช้งานแล้วหรือ Plugin ที่มีช่องโหว่หรือใช้งาน Web Application Firewall เพื่อปกป้องและคอยตรวจดูการแก้ไขไฟล์หลักของ WordPress

WordPress Plugin ที่ได้รับความนิยมมีผลกระทบจากช่องโหว่

ยังมีข่าวอื่นๆ ที่เกี่ยวข้องในสัปดาห์ที่แล้วเช่นกันคือ WordPress ได้ออกโปรเจ็ค WordPress 4.9 เพื่อสนับสนุนผู้พัฒนามาพร้อมกับฟีเจอร์เช่น การออกแบบ Workflow และป้องกันข้อผิดพลาดของการเขียนโค้ด ในภาพของความมั่นคงปลอดภัยนักวิจัยพบว่า Plugin ที่ได้รับความนิยมอย่าง Yoast SEO มียอดดาวน์โหลดไปแล้วกว่า 5 ล้านครั้งและ Formidable Forms มียอดดาวน์โหลดถึง 2 แสนครั้ง โดยก่อนหน้านี้ก็มีผู้ค้นพบช่องโหว่ของ Plugin ทั้งสองตัวดังกล่าว ดังนั้นผู้ใช้งานควรหมั่นอัปเดตให้ล่าสุดอยู่เสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/wp-vcd-wordpress-malware-campaign-is-back/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ