Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch malware tinh vi nhắm mục tiêu vào các trang web WordPress. Trong chiến dịch này, những kẻ tấn công đã nhúng mã độc hại vào các tệp cốt lõi để tạo điều kiện chuyển hướng trái phép và thực hiện kỹ thuật ngộ độc tối ưu hóa công cụ tìm kiếm (SEO poisoning).
Phân Tích Chiến Dịch Malware WordPress Tinh Vi
Vector Lây Nhiễm Ban Đầu và Cơ Chế Tải Payload
Nguồn gốc của sự lây nhiễm được truy vết đến tệp wp-settings.php, một thành phần cơ bản của framework WordPress. Tệp này đã bị sửa đổi để bao gồm hai dòng mã PHP bất thường. Những dòng mã này có chức năng trích xuất tên miền từ header HTTP_HOST, loại bỏ mọi tiền tố “www.” để đảm bảo tính nhất quán, và tận dụng trình bao bọc luồng zip:// của PHP để tự động bao gồm một payload từ một kho lưu trữ win.zip được che giấu.
Cụ thể, việc bao gồm payload nhắm mục tiêu vào một tệp bên trong kho lưu trữ được đặt tên theo hostname đã được trích xuất, cho phép thực thi các script bị làm xáo trộn một cách lén lút mà không trực tiếp thay đổi các tài sản trang web hiển thị. Điều này giúp mã độc hoạt động âm thầm và khó bị phát hiện thông qua các kiểm tra thông thường trên cấu trúc tệp của website.
Giải Mã Payload Obfuscated
Khi được giải nén, tệp win.zip đã tiết lộ một artifact PHP duy nhất được đóng gói với nhiều lớp làm xáo trộn (obfuscation), bao gồm mã hóa base64 và thay thế biến số. Các kỹ thuật này được thiết kế để né tránh phân tích tĩnh và các công cụ quét tự động, làm tăng độ khó khăn trong việc phát hiện và phân tích mã độc.
Mô Hình Hoạt Động và Các Kỹ Thuật Né Tránh của Malware
Logic hoạt động của malware bắt đầu bằng các quy trình phát hiện môi trường, đánh giá liệu kết nối có sử dụng HTTPS hay không thông qua các biến máy chủ như $_SERVER[‘HTTPS’] hoặc các header giao thức chuyển tiếp. Điều này đảm bảo tích hợp liền mạch với các ngữ cảnh bảo mật để tránh lỗi nội dung hỗn hợp (mixed-content errors) trong quá trình tải tài nguyên bên ngoài.
Cơ Chế Điều Khiển & Giao Tiếp (C2) Động
Một tính năng đáng chú ý của malware là cơ chế chọn máy chủ Command-and-Control (C2) động, phân tích URI yêu cầu để định tuyến các giao tiếp đến các điểm cuối đa dạng. Điều này giúp tăng cường khả năng phục hồi của malware trước các hoạt động gỡ bỏ tên miền (domain takedowns).
Việc định tuyến dựa trên URI cho phép kẻ tấn công điều chỉnh các hành vi độc hại như chèn nội dung hoặc chuyển hướng dựa trên các đường dẫn trang cụ thể. Điều này có thể phân đoạn các chiến dịch cho các mục tiêu SEO hoặc cấu hình người dùng khác nhau.
Bổ sung cho cơ chế này là một lớp né tránh bot, kiểm tra chuỗi user-agent để tìm các chỉ số của các trình thu thập thông tin (crawlers) như Googlebot hoặc Bingbot. Mã độc sẽ ngăn chặn các đầu ra độc hại nếu phát hiện bot, nhằm tránh việc nội dung spam bị lập chỉ mục và tránh bị phát hiện bởi quản trị viên trang web hoặc các công cụ bảo mật giả lập hành vi bot.
Phân tích sâu hơn cho thấy khả năng của malware trong việc tải nội dung từ xa và giao tiếp với máy chủ. Nó sử dụng cURL hoặc file_get_contents để lấy dữ liệu từ các tên miền do kẻ tấn công kiểm soát thông qua các yêu cầu POST, có khả năng trích xuất siêu dữ liệu trang web hoặc trạng thái lây nhiễm.
Kỹ Thuật Ngộ Độc SEO (SEO Poisoning)
Một chiến thuật cốt lõi của malware là thực hiện ngộ độc SEO thông qua việc thao túng các tệp xác minh và tệp robots.txt. Script độc hại sẽ chặn các yêu cầu đến các điểm cuối xác minh trang web của Google, giả mạo phản hồi để cho phép kẻ tấn công xác minh quyền sở hữu trong Google Search Console. Điều này cấp cho kẻ tấn công khả năng quản lý và kiểm soát các khía cạnh SEO của trang web bị xâm nhập.
Malware cũng tự động sửa đổi hoặc tạo các tệp robots.txt, thêm các chỉ thị sitemap trỏ các công cụ tìm kiếm đến các sitemap độc hại do kẻ tấn công lưu trữ trên tên miền bị xâm nhập. Bằng cách này, malware chuyển hướng quyền hạn hợp pháp của trang web để tăng thứ hạng của các nội dung spam trên công cụ tìm kiếm.
Logic Chuyển Hướng và Cảnh Báo Miền C2
Logic chuyển hướng là mục tiêu cuối cùng của malware, điều hướng khách truy cập một cách có điều kiện dựa trên các đường dẫn được yêu cầu:
- Truy cập vào products.php sẽ kích hoạt chuyển hướng đến wditemqy[.]enturbioaj[.]xyz.
- Truy cập vào detail.php sẽ kích hoạt chuyển hướng đến oqmetrix[.]icercanokt[.]xyz.
- Các đường dẫn khác sẽ chuyển hướng đến yzsurfar[.]icercanokt[.]xyz.
Các Tên Miền Chỉ Huy và Điều Khiển (C2)
Theo báo cáo, các tên miền này đóng vai trò là các node C2 để phân phối nội dung spam hoặc lừa đảo (phishing), khai thác lưu lượng truy cập của trang web để thu lợi bất hợp pháp.
Indicators of Compromise (IOCs):
- wditemqy[.]enturbioaj[.]xyz
- oqmetrix[.]icercanokt[.]xyz
- yzsurfar[.]icercanokt[.]xyz
Tác Động và Thách Thức Phát Hiện
Hậu Quả Nghiêm Trọng Đối Với SEO và Uy Tín
Những tác động của các sự lây nhiễm như vậy không chỉ giới hạn ở việc chuyển hướng ngay lập tức. Chúng bao gồm thao túng SEO nghiêm trọng thông qua chuyển hướng 301 và sitemap được chèn, làm suy giảm quyền hạn của trang web và dẫn đến việc bị đưa vào danh sách đen (blacklisting) bởi các công cụ tìm kiếm và nhà cung cấp bảo mật. Điều này gây ra tổn hại về danh tiếng và khả năng mất lưu lượng truy cập đáng kể.
Thách Thức Trong Phát Hiện
Những thách thức trong việc phát hiện xuất phát từ cơ chế bao gồm dựa trên tệp ZIP của malware, các lớp làm xáo trộn phức tạp và các chiến thuật né tránh bot. Điều này thường đòi hỏi phân tích pháp y chuyên sâu để có thể khắc phục triệt để.
Biện Pháp Phòng Ngừa và Khắc Phục
Tăng Cường Bảo Mật Hạ Tầng WordPress
Để chống lại các mối đe dọa này, quản trị viên nên ưu tiên cập nhật lõi WordPress, themes và plugins để vá các lỗ hổng đã biết. Chỉ nên tải chúng từ các kho lưu trữ đáng tin cậy như WordPress.org.
Việc thực thi vệ sinh thông tin đăng nhập mạnh mẽ thông qua mật khẩu phức tạp và xác thực đa yếu tố (MFA), cùng với việc triển khai các tường lửa ứng dụng web (WAFs) như Sucuri, cung cấp các biện pháp phòng thủ chủ động.
Chiến Lược Phòng Thủ Toàn Diện
Quét malware định kỳ bằng các công cụ tự động, kết hợp với sao lưu thường xuyên, đảm bảo khả năng phục hồi nhanh chóng và giảm thiểu thời gian ngừng hoạt động.
Khi các tác nhân đe dọa liên tục cải tiến kỹ thuật của mình, các thực hành bảo mật cảnh giác vẫn là điều cần thiết để bảo vệ hệ sinh thái WordPress khỏi các khai thác vũ khí hóa như vậy.
