จากแหล่งข่าว Bleeping Computer ชี้ให้เห็นว่าเว็บไซต์ที่ใช้ WordPress จำนวนมากได้ถูกคุกคามโจมตี ด้วยวิธีการหลอกให้ติดตั้ง Plugin ที่เป็น Malicious โดยหลอกว่าเป็นซอฟต์แวร์อัปเดตหรือ Error เพื่อใส่มัลแวร์ขโมยข้อมูลไปแทน
วงไม่กี่ปีที่ผ่านมานี้ มัลแวร์ที่ทำหน้าที่ขโมยข้อมูลความลับองค์กรออกมานั้นเริ่มเป็นรูปยอดนิยมในการโจมตีไปทั่วโลก อาทิ ClearFake ที่ถูกใช้แสดงอัปเดตเว็บเบราว์เซอร์ปลอม หรือ ClickFix ที่เป็นข้อความแจ้งเตือนปลอมเพื่อให้แก้ไขปัญหาซอฟต์แวร์ที่ใช้งานอยู่ เพื่อหลอกให้ติดตั้งมัลแวร์สำหรับขโมยข้อมูลออกมา
ล่าสุด GoDaddy ได้รายงานว่าเริ่มเห็นเหตุการณ์ ClickFix ในรูปแบบใหม่ โดย Threat Actor ได้ใช้วิธีโจมตีไปยังเว็บไซต์ WordPress กว่า 6,000 แห่ง เพื่อหลอกให้ติดตั้ง Malicious Plugin ที่จะแสดงการแจ้งเตือนปลอมไปยังผู้ใช้ปลายทาง เพื่อให้อัปเดตเบราว์เซอร์ ซึ่งแท้จริงแล้วเป็นมัลแวร์เพื่อขโมยข้อมูล
โดยชื่อของ Plugin ก็จะคล้าย ๆ กับ Plugin ที่ถูกต้องตามกฎหมายอีกด้วย เช่น Wordfense Security หรือ LiteSpeed Cache เป็นต้น โดยลิสต์ Plugin ที่พบว่ามีลักษณะแคมเปญการโจมตีดังกล่าวในช่วงมิถุนายนถึงกันยายน 2024 ที่ผ่านมา มีดังต่อไปนี้
| LiteSpeed Cache Classic | Custom CSS Injector |
| MonsterInsights Classic | Custom Footer Generator |
| Wordfence Security Classic | Custom Login Styler |
| Search Rank Enhancer | Dynamic Sidebar Manager |
| SEO Booster Pro | Easy Themes Manager |
| Google SEO Enhancer | Form Builder Pro |
| Rank Booster Pro | Quick Cache Cleaner |
| Admin Bar Customizer | Responsive Menu Builder |
| Advanced User Manager | SEO Optimizer Pro |
| Advanced Widget Manage | Simple Post Enhancer |
| Content Blocker | Social Media Integrator |
หากใครให้บริการผ่าน WordPress แล้วได้รับแจ้งรายงานว่ามี Alert ปลอมแสดงผลขึ้นมา แนะนำว่าให้รีบเร่งตรวจสอบเพื่อนำเอา Plugin อาจเป็น Malicious ออกไป และเมื่อพบแล้วก็ควรจะปรับเปลี่ยนรหัสผ่านโดยเฉพาะรหัสผู้ดูแลเพื่อเพิ่มความมั่นคงปลอดภัยมากขึ้น
———————————————————————————————————————————————————————————
ที่มา : Techtalkthai / วันที่เผยแพร่ 22 ต.ค.67
Link : https://www.techtalkthai.com/over-6000-wordpress-sites-attacked-tricked-into-installing-plugins-to-steal-data/
