研究人员透露,一些受损的WordPress站点正在不知不觉地传播潜在的不必要的应用程序(PUA)以及间谍软件。
间谍软件和PUA通过欺诈性浏览器插件和虚假的Flash更新消息发送给用户。入侵的WordPress站点基本上将用户重定向到均匀的资源定位器(URL),这些资源定位器(URL)被间谍软件侵扰。
Zscaler的研究人员发现了秘密运动,他透露,自八月份的第一周以来,这项运动就已经进行。间谍软件和PUA影响了20,000多名用户,并已发送到2,000多个WordPress网站。
研究团队还泄露了大多数受感染网站运行WordPress CMS的当前版本4.3.1。但是,人们认为在更新到最新版本之前,这些网站可能已被妥协。
用户在WordPress支持论坛以及Dynamoo博客的Conrad Longmore上也证实了这些攻击。
“我们最近一直在处理几次病毒攻击。我遇到了一种没有在Wordfence扫描中显示的病毒,也没有在Google或我自己或Bluehost进行的任何其他病毒扫描上搜索它,”著名的WordPress论坛上的用户。
“自从上周利用在拉脱维亚举办的VPS托管服务以来,我一直在看到一些注射攻击。这些服务今天仍在继续。”揭示Longmore在博客文章中。
那么恶意软件如何开始感染周期?
“当用户访问受损的WordPress网站时,感染开始,”说ZScaler还提供了受感染页面显示的JavaScript代码的屏幕截图。
该代码包含一个iframe,可提供黑客服务器位置的信息。根据Zscaler的说法,黑客正在收集数据,例如用户版本的Adobe Flash播放器,其时区和系统时间戳。
这有可能威胁到?
攻击者在用户系统上拥有数据后,他们将连续将几个快速重定向发送到网页。在这里,大多数情况下,要求用户对其Adobe Flash播放器进行更新或安装相同的更新,这基本上是一个伪装的间谍软件。
如果用户采用诱饵,则攻击者将向他们的系统运送.EXE文件,该文件将安装修改后的Win32.installCore PUA。
用户安装此PUA后,它们将被重定向到真实的Adobe网站。在那里,用户被告知,Flash播放器的安装失败了。因此,要求用户尝试重新安装,但是这次是从真正的消息来源。
在某些情况下,攻击者还可以要求一个安装欺诈性浏览器附加组件,而不是Adobe Flash Player。
虽然这些是分钟级的广告软件和间谍件,但它们仍然很危险,因为它们可以通过黑客在受感染的机器上注入严重的麦芽糖来充当潜在的门户。
研究人员透露,IPS地址(91.226.33.54)属于基于拉脱维亚的VPS托管服务,是攻击的背后。
照片:Serge Kij | Flickr
