Nhà cung cấp dịch vụ đám mây GoDaddy vừa công bố báo cáo bảo mật, cho biết một nhóm hackers đã sử dụng phần mềm độc hại có tên DollyWay để chiếm quyền điều khiển các trang web WordPress. Hiện tại, hơn 20.000 website đã bị nhiễm mã độc này.
Theo thông tin, nhóm hackers này hoạt động từ năm 2016, chủ yếu sử dụng hệ thống chuyển hướng lưu lượng độc hại (Traffic Direction System - TDS) và mạng lưới hạ tầng phân tán gồm các nút điều khiển (C2 nodes) để tấn công các trang WordPress. Sau đó, họ triển khai phần mềm độc hại DollyWay để cài đặt các nút C2 và TDS lên các website bị xâm nhập. Mục tiêu là chuyển hướng người dùng truy cập các trang WordPress này đến các trang quảng cáo như VexTrio, LosPollos nhằm trục lợi. Đáng chú ý, sau khi xâm nhập thành công, hackers còn lén lút cập nhật hệ thống WordPress của các website này và loại bỏ các phần mềm độc hại khác, nhằm giành quyền kiểm soát hoàn toàn và ngăn chặn sự can thiệp từ các nhóm hackers khác.

Để duy trì sự hiện diện lâu dài trên các website WordPress bị nhiễm, hackers đã thiết lập một cơ chế “tái nhiễm”. Cụ thể, họ chèn mã PHP độc hại dưới dạng tiện ích WPCode vào tất cả các plugin đang hoạt động trên website. Nếu quản trị viên phát hiện website bị tấn công nhưng không dọn sạch triệt để, hackers có thể dễ dàng xâm nhập lại lần nữa.