บริษัทด้านความปลอดภัย Sucuri ได้ออกมาเปิดเผยว่าในตอนนี้เว็บไซต์ที่สร้างด้วย WordPress กว่า 2,000 เว็บ มีการฝัง Keylogger เพื่อดักขโมยข้อมูล Login และข้อมูล Password พร้อมทั้งทำการติดตั้ง Script cryptojacking ช่องโหว่นี้เกิดจาก Hacker ได้ทำการโหลด Keylogger จากโดเมน cdjs.online, cdns.ws และ msdns.online
สาเหตุที่ทำให้เกิดช่องโหว่นั้นมาจากการที่ WordPress ไม่ได้อัปเดตให้เป็นเวอร์ชั่นปัจจุบัน หรือใช้ PLugin หรือ Theme ที่เป็นเวอร์ชั่นเก่า Hacker จะใช้ประโยชน์จากช่องโหว่นี้ทำการฝังโค้ดลงไปใน CMS โค้ดที่ว่านี้จะแบ่งการทำงานออกเป็น 2 ส่วนคือ ส่วนแรกคือ ส่วนของหน้า Admin เมื่อมีการ Login เข้าสู่ระบบในฐานะผู้ดูแล ระบบจะทำการดาว์โหลดข้อมูลจาก Keylogger ของโฮสต์ไปยังเครื่องของ Hacker สำหรับส่วนที่ 2 คือ ส่วนของหน้าไซต์ จะทำการฝังโค้ด Coinhive เพื่อทำการขุด cryptocurrency กับขุด Monero โดยใช้ CPU ของผู้เข้าชมเว็บไซต์
ที่มาภาพ: Bleeping Computer
จริงๆ แล้วเรื่องแบบนี้ก็เคยเกิดขึ้นเมื่อประมาณเดือนเมษายนปี 2017 เหล่าบรรดา Hacker จะใช้แบนเนอร์โฆษณาบนเว็บที่แฮกเข้าไปได้ จากนั้นจะทำการดาวน์โหลดสคริปต์ Coinhive cryptojacking ซึ่งชื่อปลอมของสคริปต์นี้จะใช้ชื่อว่า jQuery หรือ ไฟล์ Google Analytics JavaScript และเมื่อประมาณต้นเดือนธันวาคมในปีเดียวกัน เหล่า Hacker ได้ทำการโจมตีแบบนี้อีกครั้งหนึ่งซึ่งผ่านทาง Keylogger ในขณะนั้นมีเว็บ WordPress กว่า 5,000 เว็บ ที่โดนการโจมตีนี้ แต่ท้ายที่สุดก็สามารถหยุดการโจมตีนี้ได้โดยมีการสั่งปิดโดเมนที่ชื่อว่า cloudflare.solutions
ทาง Sucuri ได้กังวลว่าจริงๆ แล้วอาจจะมีเว็บ WordPRess ที่ไม่ได้อยู่ในรายชื่อใน PublicWWW อีกมาก จนทำให้จำนวนผู้ตกเป็นเหยื่ออาจจะมากกว่า 2,000 ก็ได้
ส่วนการป้องกันนตอนนี้คงต้องแก้ไขโดยผู้ดูแลระบบจะต้องคอยตรวจสอบการอัปเดตสิ่งต่างๆ ใน WordPress ไม่ว่าจะเป็น เวอร์ชั่นของ WordPress, Theme และ Plugin ต่างๆ ให้เป็นรุ่นล่าสุด ตรวจดูว่ามีสคริปต์ต่างๆ ในหน้า Login ให้ดีว่ามีสคริปต์อะไรที่น่าสงสัยหรือไม่ รวมไปถึง เช็คเว็บของตนว่ามีการฝังโค้ดแปลกๆ หรือไม่ และมีการแก้ไขไฟล์ต่างๆ หรือไม่
ที่มา : Bleeping Computer