一个名为Sign1的大规模恶意软件活动在过去六个月中已经危害了超过 39,000 个 WordPress 网站,该活动使用恶意 JavaScript 注入将用户重定向到诈骗网站。
Sucuri 在发布的一份报告中表示,该恶意软件的最新变种估计仅在过去两个月就感染了不少于 2,500 个网站。
这些攻击需要将恶意 JavaScript 注入合法的 HTML 小部件和插件中,从而允许插入任意 JavaScript 和其他代码,从而为攻击者提供了添加恶意代码的机会。
XOR 编码的 JavaScript 代码随后被解码并用于执行远程服务器上托管的 JavaScript 文件,这最终有助于重定向到VexTrio操作的流量分配系统 (TDS),但前提是满足某些条件。
此外,该恶意软件使用基于时间的随机化来获取每 10 分钟更改一次的动态 URL,以绕过阻止列表。这些域名是在用于攻击之前几天注册的。
“该代码最值得注意的事情之一是,它专门查看访问者是否来自任何主要网站,例如 Google、Facebook、Yahoo、Instagram 等,”安全研究员 Ben Martin说。“如果引荐来源网址与这些主要网站不匹配,则恶意软件将不会执行。”
然后,通过从同一服务器执行另一个 JavaScript,网站访问者会被带到其他诈骗网站。
Sign1 活动于 2023 年下半年首次被发现,自 2023 年 7 月 31 日以来,攻击者利用了多达 15 个不同的域。
尽管攻击者也可以利用插件和主题中的安全缺陷来获取访问权限,但人们怀疑 WordPress 网站已被暴力攻击所接管。
“许多注入是在攻击者添加到受感染网站的 WordPress 自定义 HTML 小部件中发现的,”Martin 说。“攻击者经常安装合法的Simple Custom CSS 和 JS 插件,并使用该插件注入恶意代码。”
Sucuri 表示,这种不将任何恶意代码放入服务器文件的方法可以使恶意软件在较长时间内不被检测到。
发表评论
您还未登录,请先登录。
登录