一份新报告发现,黑客正在通过虚假的 Cloudflare 分布式拒绝服务 ( DDoS ) 保护页面通过 WordPress 网站传播危险的恶意软件。
正如PCMag和Bleeping Computer报道的那样,基于 WordPress 格式的网站正被威胁者入侵,如果受害者上当,则会安装 NetSupport RAT 和密码窃取木马 (RaccoonStealer)。
网络安全公司 Sucuri 详细介绍了黑客如何入侵没有强大安全基础的 WordPress 网站以实施 JavaScript 有效负载,进而展示虚假的 Cloudflare 保护 DDoS 警报。
一旦有人访问这些受感染的站点之一,它会指示他们物理单击一个按钮以确认 DDoS 保护检查。该操作将导致将“security_install.iso”文件下载到系统。
从这里开始,除了输入代码外,指令还要求个人打开伪装成名为 DDOS GUARD 的程序的受感染文件。
另一个文件 security_install.exe 也存在——一个通过 debug.txt 文件执行 PowerShell 命令的 Windows 快捷方式。打开文件后,流行的远程访问特洛伊木马 NetSupport RAT 就会加载到系统中。一旦他们有权访问 PC 运行的脚本也将安装和启动 Raccoon Stealer 密码窃取木马。
最初于 2022 年 3 月关闭的 Raccoon Stealer 于 6 月通过一系列更新回归。一旦在受害者的系统上成功打开,Raccoon 2.0 将扫描存储和保存在网络浏览器上的密码、cookie、自动填充数据和信用卡详细信息。它还可以窃取文件并截取桌面截图。
正如 Bleeping Computer 所强调的那样,DDoS 保护屏幕开始成为常态。他们的目的是保护网站免受恶意机器人的攻击,这些恶意机器人希望通过大量流量来禁用其服务器。然而,黑客现在似乎发现了一个漏洞,可以利用这些屏幕作为伪装来传播恶意软件。
考虑到这一点,Sucuri 建议 WordPress 管理员查看其主题文件,这是威胁参与者集中精力的地方。此外,安全网站强调 ISO 文件不会涉及 DDoS 保护屏幕,因此请确保不要下载任何此类文件。
整个 2022 年,黑客、恶意软件和勒索软件活动变得越来越普遍。例如,黑客即服务计划只需 10 美元即可窃取用户数据。与以往一样,请确保加强密码并在所有设备和帐户中启用双重身份验证。