研究人員透露,一些受損的WordPress站點正在不知不覺地傳播潛在的不必要的應用程序(PUA)以及間諜軟件。
間諜軟件和PUA通過欺詐性瀏覽器插件和虛假的Flash更新消息發送給用戶。入侵的WordPress站點基本上將用戶重定向到均勻的資源定位器(URL),這些資源定位器(URL)被間諜軟件侵擾。
Zscaler的研究人員發現了秘密運動,他透露,自八月份的第一周以來,這項運動就已經進行。間諜軟件和PUA影響了20,000多名用戶,並已發送到2,000多個WordPress網站。
研究團隊還洩露了大多數受感染網站運行WordPress CMS的當前版本4.3.1。但是,人們認為在更新到最新版本之前,這些網站可能已被妥協。
用戶在WordPress支持論壇以及Dynamoo博客的Conrad Longmore上也證實了這些攻擊。
“我們最近一直在處理幾次病毒攻擊。我遇到了一種沒有在Wordfence掃描中顯示的病毒,也沒有在Google或我自己或Bluehost進行的任何其他病毒掃描上搜索它,”著名的WordPress論壇上的用戶。
“自從上周利用在拉脫維亞舉辦的VPS託管服務以來,我一直在看到一些注射攻擊。這些服務今天仍在繼續。”揭示Longmore在博客文章中。
那麼惡意軟件如何開始感染週期?
“當用戶訪問受損的WordPress網站時,感染開始,”說ZScaler還提供了受感染頁面顯示的JavaScript代碼的屏幕截圖。
該代碼包含一個iframe,可提供黑客服務器位置的信息。根據Zscaler的說法,黑客正在收集數據,例如用戶版本的Adobe Flash播放器,其時區和系統時間戳。
這有可能威脅到?
攻擊者在用戶系統上擁有數據後,他們將連續將幾個快速重定向發送到網頁。在這裡,大多數情況下,要求用戶對其Adobe Flash播放器進行更新或安裝相同的更新,這基本上是一個偽裝的間諜軟件。
如果用戶採用誘餌,則攻擊者將向他們的系統運送.EXE文件,該文件將安裝修改後的Win32.installCore PUA。
用戶安裝此PUA後,它們將被重定向到真實的Adobe網站。在那裡,用戶被告知,Flash播放器的安裝失敗了。因此,要求用戶嘗試重新安裝,但是這次是從真正的消息來源。
在某些情況下,攻擊者還可以要求一個安裝欺詐性瀏覽器附加組件,而不是Adobe Flash Player。
雖然這些是分鐘級的廣告軟件和間諜件,但它們仍然很危險,因為它們可以通過黑客在受感染的機器上註入嚴重的麥芽糖來充當潛在的門戶。
研究人員透露,IPS地址(91.226.33.54)屬於基於拉脫維亞的VPS託管服務,是攻擊的背後。
照片:Serge Kij | Flickr
