22/67 (IT) ประจำวันพฤหัสบดีที่ 16 มกราคม 2568
พบแคมเปญมัลแวร์ใหม่ที่เจาะระบบเว็บไซต์ WordPress มากกว่า 5,000 เว็บไซต์ โดยสร้างบัญชีผู้ดูแลระบบปลอม ติดตั้งปลั๊กอินอันตราย และขโมยข้อมูลสำคัญ นักวิจัยจากบริษัทด้านความปลอดภัย c/side พบว่า มัลแวร์ดังกล่าวใช้โดเมน wp3[.]xyz ในการส่งข้อมูลออกไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยหลังจากเจาะระบบสำเร็จ สคริปต์อันตรายจะสร้างบัญชีชื่อ “wpx_admin” พร้อมรหัสผ่านที่ระบุไว้ในโค้ด จากนั้นติดตั้งปลั๊กอินชื่อ plugin.php ซึ่งมีหน้าที่เก็บข้อมูล เช่น บัญชีผู้ดูแลระบบและบันทึกการใช้งาน และส่งข้อมูลในรูปแบบที่ดูเหมือนเป็นคำขอรูปภาพเพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย บริษัท c/side ระบุว่ามัลแวร์ยังมีขั้นตอนการตรวจสอบความสำเร็จของการโจมตี เช่น ตรวจสอบว่าบัญชีและปลั๊กอินถูกสร้างและเปิดใช้งานแล้วหรือไม่ เพื่อติดตามสถานะของการโจมตีอย่างเป็นระบบ
สำหรับการป้องกัน c/side แนะนำให้ บล็อกโดเมน wp3[.]xyz โดยใช้ไฟร์วอลล์และเครื่องมือรักษาความปลอดภัย ตรวจสอบบัญชีผู้ดูแลระบบและปลั๊กอินที่ติดตั้ง เพื่อตรวจหากิจกรรมผิดปกติ และเพิ่มการป้องกัน CSRF (Cross-Site Request Forgery) โดยใช้โทเคนเฉพาะฝั่งเซิร์ฟเวอร์ที่มีการหมดอายุระยะสั้น อีกทั้งการเปิดใช้งาน การยืนยันตัวตนหลายปัจจัย (MFA) จะช่วยเพิ่มความปลอดภัย
