北京建站哪家好,微孝感网站建设,p2p提供网站建设违法,郴州网红店黑客使用窃取的凭证感染 WordPress 网站#xff0c;并向其发送虚假插件#xff0c;通过虚假的浏览器更新提示向最终用户发送恶意软件和信息窃取程序。
该恶意活动基于ClickFix假浏览器更新恶意软件的新变种#xff0c;自 2024 年 6 月以来已使用假 WordPress 插件感染了超过… 黑客使用窃取的凭证感染 WordPress 网站并向其发送虚假插件通过虚假的浏览器更新提示向最终用户发送恶意软件和信息窃取程序。
该恶意活动基于ClickFix假浏览器更新恶意软件的新变种自 2024 年 6 月以来已使用假 WordPress 插件感染了超过 6,000 个网站。
总体而言据 GoDaddy 安全团队称自 2023 年 8 月以来ClickFix 已感染了超过 25,000 个网站。
假冒 WordPress 插件窃取用户凭证
没有已知的漏洞被利用来传递虚假插件黑客似乎只是使用了被盗的凭证。
GoDaddy公告称 “日志分析显示安装假冒 WordPress 插件并未直接利用 WordPress 生态系统中任何已知漏洞。相反攻击者拥有每个受感染网站的合法 WordPress 管理员凭证。”
这些插件“旨在对网站管理员无害”但网站访问者可能会看到虚假的浏览器更新和其他恶意提示。
这些插件会注入恶意 JavaScript其中包含“一种已知的伪造浏览器更新恶意软件变种该恶意软件使用区块链和智能合约来获取恶意负载”即 EtherHiding。
在浏览器中执行时JavaScript 会发送伪造的浏览器更新通知引导用户在其计算机上安装恶意软件通常是远程访问木马 (RAT) 或Vidar Stealer 和 Lumma Stealer 等信息窃取程序。
假冒 WordPress 插件详细信息和 IoC
这些假插件使用通用名称例如“高级用户管理器”或“快速缓存清理器”其目录仅包含 3 个小文件index.php、.DS_Store和-script.js文件其变体通常基于插件名称。 伪造的 WordPress 插件文件
这些命名方案导致了其他恶意插件的发现
插件名称.注入脚本管理栏定制器管理栏定制器/abc-script.js高级用户管理器高级用户管理器/aum-script.js高级小部件管理高级小部件管理/awm-script.js内容拦截器内容拦截器/cb-script.js自定义 CSS 注入器自定义 CSS 注入器/cci-script.js自定义页脚生成器自定义页脚生成器/cfg-script.js自定义登录样式器自定义登录样式器/cls-script.js动态侧边栏管理器动态侧边栏管理器/dsm-script.js简易主题管理器简易主题管理器/script.js表单生成器专业版form-builder-pro/fbp-script.js快速缓存清理器快速缓存清理器/qcc-script.js响应式菜单生成器响应式菜单生成器/rmb-script.jsSEO优化专家seo-optimizer-pro/sop-script.js简单的帖子增强器简单后增强器/spe-script.js社交媒体集成商社交媒体集成器/smi-script.js
公告称“底层插件代码故意保持简单以避免引发危险信号。” wp_enqueue_scripts操作的钩子 被操纵将插件目录中的有害脚本加载到 WordPress 页面中。
.DS_Store 是桌面服务存储 (Desktop Services Store) 的缩写是macOS Finder 应用程序创建的用于存储文件夹首选项的隐藏文件。
伪造的插件 .DS_Store 文件不包含任何信息但可以用作入侵指标 (IoC)
MD5 194577a7e20bdcc7afbb718f502c134c SHA 256d65165279105ca6773180500688df4bdc69a2c7b771752f0a46ef120b7fd8ec3
脚本文件名包含相同的内容可以通过其哈希值识别
MD5 602e1f42d73cadcd73338ffbc553d5a2 SHA 256 a4ad384663963d335a27fa088178a17613a7b597f2db8152ea3d809c8b9781a0
关于 WordPress 凭证被盗的猜测
GoDaddy 的建议指出有效的 WordPress 管理员凭据的存在表明黑客使用了获取凭据的方法例如暴力攻击、网络钓鱼活动甚至是网站管理员计算机上的恶意软件或信息窃取程序感染。
该公告并未提及但据推测多因素身份验证以及其他访问控制如设备 ID、健康和位置将提供一些保护防止被盗凭证被滥用。
