近期有 800 多個 WordPress 網站遭到植入惡意程式,這是一個複雜的攻擊手法,先誘使造訪遭入侵網站的用戶安裝假 Java Runtime,最終將安裝惡意 Chrome 擴充程式,用以竊取受害者密碼、憑證等。
目前不確定駭客是如何入侵眾多 WordPress 網站,估計是開採 WordPress 內容管理系統的安全漏洞,在這 800 個被駭網站中,有超過 700 個都是使用巴西的頂級網域名稱,顯示今次攻擊鎖定的是巴西用戶。
當使用者造訪已遭入侵的 WordPress 網站後,就會跳出一個要求使用者安裝 Java Runtime 的視窗,看起來真像 Java 安裝功能,但實際安裝的卻是 install.js、sched.js 與 sucesso.js 等 3 個惡意的 JavaScript 檔案,install.js 負責下載另一個戲本程式,以部署下一階段所需的 Python 環境,sched.js 主要建立長駐能力,sucesso.js 則擔任向 C&C 伺服器回報任務進度的角色。
接著便進入Python的記憶體內載入程序,它會載入各種Python/JavaScript戲本程式、Shellcode、Delphi DLLs與.NET PE等,直至執行Instructions.js。
而Instructions.js的任務即是下載惡意Chrome擴充程式,包括紀錄受害者指紋的Online、可擷取螢幕畫面的Mtps4、可自Chrome竊取密碼的、金融木馬Chronodx,以及鎖定網上購物平台Mercado Libre憑證的Chremows。
沒有留言:
發佈留言