ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ออกมาเตือนถึงการระบาดของมัลแวร์สายพันธุ์ใหม่ที่มุ่งโจมตีเว็บไซต์ WordPress โดยแฝงตัวมาในรูปแบบของปลั๊กอินปลอมที่มีชื่อว่า “WP-antymalwary-bot.php” มัลแวร์นี้ถูกออกแบบมาให้หลบซ่อนจากสายตาผู้ดูแลเว็บไซต์ แถมยังคงการเข้าถึงไว้ได้แม้ผู้ดูแลจะพยายามลบออก
มัลแวร์นี้ถูกพบครั้งแรกในช่วงปลายเดือนมกราคม 2025 ระหว่างการทำความสะอาดเว็บไซต์ที่ถูกบุกรุก และต่อมาก็ตรวจพบการระบาดจริงบนเว็บไซต์อื่น ๆ พร้อมสายพันธุ์ใหม่ โดยปลั๊กอินอันตรายนี้ยังอาจมาในชื่ออื่น เช่น addons.php, wpconsole.php, wp-performance-booster.php, และ scr.php
เมื่อปลั๊กอินถูกติดตั้งและเปิดใช้งาน มันจะมอบสิทธิ์ผู้ดูแลระบบให้กับแฮ็กเกอร์ ใช้ REST API เพื่อรันโค้ดอันตรายจากระยะไกล ฝังโค้ด PHP ลงในไฟล์ธีมของเว็บไซต์ หรือเคลียร์แคชของปลั๊กอินยอดนิยม เพื่อให้การโจมตีทำงานได้ราบรื่นขึ้น สายพันธุ์ใหม่ยังดึงโค้ด JavaScript จากโดเมนที่ถูกบุกรุกมาแล้ว เพื่อแสดงโฆษณาหรือส่งสแปม นอกจากนี้ยังมีไฟล์อันตรายชื่อ wp-cron.php ที่สามารถสร้างและเปิดใช้งานมัลแวร์ขึ้นมาใหม่โดยอัตโนมัติ แม้ว่าผู้ดูแลจะลบปลั๊กอินออกไปแล้ว
ในขณะนี้ยังไม่ทราบแน่ชัดว่าแฮ็กเกอร์ใช้วิธีใดเจาะเข้ามาในเว็บไซต์ และไม่รู้ว่าใครอยู่เบื้องหลังการโจมตี แต่พบข้อความและคอมเมนต์ในภาษารัสเซีย ซึ่งอาจบ่งชี้ว่าผู้โจมตีเป็นกลุ่มที่พูดภาษารัสเซีย
การเปิดเผยครั้งนี้เกิดขึ้นพร้อมกับรายงานของบริษัท Sucuri ที่ตรวจพบแคมเปญเว็บสกิมเมอร์ (web skimmer) โดยใช้โดเมนฟอนต์ปลอมชื่อ italicfonts[.]org เพื่อแสดงฟอร์มชำระเงินปลอมบนหน้าเช็กเอาต์ของเว็บไซต์ ขโมยข้อมูลที่ผู้ใช้กรอก เช่น ข้อมูลบัตรเครดิต และส่งต่อไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์
รายละเอียด – THN
