Hơn 10.000 website WordPress đã bị chiếm quyền để phát tán malware nhắm vào cả người dùng macOS và Windows. Kẻ tấn công lợi dụng lỗ hổng client-side và các plugin lỗi thời để tránh bị phát hiện.
Người dùng khi truy cập các website này sẽ thấy một trang cập nhật Chrome giả mạo, yêu cầu tải xuống tệp độc hại. Nếu là macOS, họ sẽ nhận AMOS (Atomic macOS Stealer), một stealer malware chuyên đánh cắp dữ liệu. Nếu là Windows, họ sẽ bị nhiễm SocGholish, một banking trojan nguy hiểm.
Chiến dịch này sử dụng 27 domain độc hại, trong đó fastcloudcdn[.]com đóng vai trò chính trong việc lưu trữ JavaScript và tạo trang lừa đảo. Đây là lần đầu tiên AMOS và SocGholish được phát tán thông qua một cuộc tấn công client-side, khiến các công cụ bảo mật truyền thống khó phát hiện hơn.
Chủ sở hữu website WordPress cần cập nhật hệ thống và plugin lên phiên bản mới nhất, kiểm tra log hệ thống để phát hiện hoạt động đáng ngờ và triển khai các công cụ bảo mật client-side. Nếu nghi ngờ đã tải malware, người dùng nên quét hệ thống ngay để giảm nguy cơ lây nhiễm.
