假Cloudflare的DDoS防護(hù)頁(yè)對(duì)WordPress用戶(hù)發(fā)動(dòng)掛馬攻擊

安全廠商Sucuri發(fā)現(xiàn)，近日Wordpress用戶(hù)遭冒充Cloudflare的DDoS保護(hù)消息攻擊，誘使他們下載竊密或綁架計(jì)算機(jī)的遠(yuǎn)程訪問(wèn)木馬（trojan access trojan，RAT）程序。

上網(wǎng)時(shí)經(jīng)?？煽匆?jiàn)DDoS防護(hù)頁(yè)面，這一般是和網(wǎng)頁(yè)防火墻（WAF）或CDN服務(wù)廠商檢測(cè)網(wǎng)站訪客是真人，還是分布式拒絕服務(wù)（DDoS）攻擊或其他機(jī)器人程序有關(guān)。一般情形下，DDoS防護(hù)網(wǎng)頁(yè)是用戶(hù)在前往某網(wǎng)頁(yè)途中看到執(zhí)行檢查，或是提出技能測(cè)試問(wèn)題，對(duì)用戶(hù)只是有點(diǎn)煩，但沒(méi)有什么大影響。

但是Securi近日發(fā)現(xiàn)一波JavaScript注入攻擊特別鎖定Wordpress網(wǎng)站，讓訪問(wèn)這些網(wǎng)站的用戶(hù)瀏覽器跳出假的Cloudflare的DDoS防護(hù)通知要求輸入網(wǎng)頁(yè)驗(yàn)證碼，同時(shí)，用戶(hù)計(jì)算機(jī)會(huì)被下載惡意.iso文件。受害用戶(hù)會(huì)被要求打開(kāi)該.iso文件以取得“驗(yàn)證碼”。一旦打開(kāi)，這個(gè)檔會(huì)顯示一組可供輸入的驗(yàn)證碼。

圖片來(lái)源／Sucuri

但研究人員指出，這個(gè).iso文件其實(shí)是RAT文件。根據(jù)MalwareBytes研究人員Jerome Segura分析，這個(gè)名為NetSupport RAT的惡意程序和FakeUpdates/SocGholish有關(guān)，一般是在勒索軟件傳播前對(duì)受害者進(jìn)行計(jì)算機(jī)調(diào)查。這個(gè)ISO檔內(nèi)有冒充執(zhí)行文件的捷徑，可從另一個(gè)純文本檔執(zhí)行PowerShell。此外，它還在用戶(hù)計(jì)算機(jī)安裝RaccoonStealer，研究人員說(shuō)它在受害計(jì)算機(jī)上可以做很多事，像是搜集社群網(wǎng)站或銀行帳密、觸發(fā)勒索軟件、綁架用戶(hù)計(jì)算機(jī)成為惡意網(wǎng)絡(luò)一員、勒索計(jì)算機(jī)持有人、或是竊聽(tīng)、監(jiān)看用戶(hù)隱私。

有至少13家安全品牌產(chǎn)品偵測(cè)出這個(gè)惡意程序。

安全廠商指出，這突顯網(wǎng)頁(yè)安全的重要性，也需要用戶(hù)上網(wǎng)時(shí)保持警戒心。研究人員呼吁網(wǎng)站管理員應(yīng)將所有軟件更新到最新版本、使用強(qiáng)密碼、加裝防火墻，管理員控制臺(tái)應(yīng)激活2FA，并部署文件防護(hù)監(jiān)控方案。

針對(duì)一般用戶(hù)，廠商則提醒應(yīng)養(yǎng)成良好安全習(xí)慣，不要隨意打開(kāi)文件，計(jì)算機(jī)上的殺毒軟件及瀏覽器等軟件應(yīng)升級(jí)到最新版，并激活2FA，瀏覽器也可考慮封鎖JavaScript。