163/68 (IT) ประจำวันศุกร์ที่ 2 พฤษภาคม 2568
นักวิจัยด้านความปลอดภัยจากบริษัท Wordfence ได้เปิดเผยมัลแวร์รูปแบบใหม่ที่กำลังคุกคามเว็บไซต์ WordPress โดยปลอมตัวเป็นปลั๊กอินป้องกันมัลแวร์ที่ดูเหมือนของแท้ มักใช้ชื่อหลอกลวงในระบบไฟล์ เช่น WP-antymalwary-bot[.]php หรือ addons[.]php โดยมัลแวร์ตัวนี้สามารถควบคุมเว็บไซต์ที่ติดเชื้อจากระยะไกล แฝงตัวไม่ให้ปรากฏในแผงควบคุมของผู้ดูแลระบบ และแทรกโค้ด JavaScript ที่เป็นอันตรายเพื่อแสดงโฆษณาแฝงให้กับผู้เข้าชมเว็บไซต์
จากการวิเคราะห์เชิงเทคนิค มัลแวร์นี้ใช้กลไกต่างๆ เพื่อฝังตัวและคงอยู่ในระบบ เช่น การใช้ไฟล์ wp-cron[.]php ที่ถูกดัดแปลงให้สามารถติดตั้งมัลแวร์ใหม่ได้แม้ไฟล์ปลั๊กอินจะถูกลบออกแล้ว นอกจากนี้ยังใช้พารามิเตอร์ emergency_login เพื่อให้ผู้ไม่หวังดีเข้าสู่ระบบด้วยรหัสผ่านลับ และใช้ REST API เพื่อสั่งรันโค้ด PHP ระยะไกล รวมถึงฟังก์ชัน hide_plugin_from_list เพื่อหลบซ่อนตัวจากระบบหลังบ้าน มัลแวร์ยังมีการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ควบคุม (C&C) และฝังโฆษณาโดยดึงโค้ดจากไฟล์ ads[.]php ที่อยู่ต่างประเทศ
บริษัท Wordfence ตรวจพบมัลแวร์นี้ครั้งแรกเมื่อวันที่ 22 มกราคม 2025 ขณะดำเนินการล้างระบบเว็บไซต์ให้ลูกค้า พร้อมออกซิกเนเจอร์เพื่อใช้ตรวจจับมัลแวร์ได้อย่างแม่นยำ ซึ่งยังใช้ได้ผลแม้จะมีเวอร์ชันใหม่ปรากฏตามมา ล่าสุด Wordfence ได้ออกกฎไฟร์วอลล์เมื่อวันที่ 23 เมษายน 2025 เพื่อป้องกันการรันมัลแวร์สำหรับผู้ใช้บริการแบบพรีเมียม ส่วนผู้ใช้งานทั่วไปจะได้รับการป้องกันนี้ในวันที่ 23 พฤษภาคม 2025 ทั้งนี้ ผู้ดูแลเว็บไซต์ควรหมั่นตรวจสอบปลั๊กอินที่ติดตั้ง ใช้เครื่องมือรักษาความปลอดภัยจากผู้ให้บริการที่น่าเชื่อถือ และอัปเดตระบบอย่างสม่ำเสมอ เพื่อป้องกันการโจมตีที่ซับซ้อนในลักษณะนี้
แหล่งข่าว https://hackread.com/wordpress-malware-disguised-as-anti-malware-plugin/
