E安全2月21日讯,据外媒报道,根据网络安全公司Prevailion 的研究人员于近日发布的最新研究显示,WP-VCD犯罪团伙已通过在其恶意软件中集成反拦截脚本来进行黑客攻击,被木马化的WordPress通过广告传播恶意软件,并且已经破坏了超过20000台Web服务器。据了解,受感染的服务器遍布全球,而且超过五分之一的受感染实体是中小型企业。

据了解,早在2017年底以来,此次事件背后的WP-VCD网络罪犯组织一直在努力研究此类攻击模式。他们利用了WordPress内容管理系统的广泛利用率,用户对高级操作需求的增加以及受害者缺乏安全意识, 犯罪分子在不知不觉中入侵受害者的Web服务器。为了更好的入侵,犯罪分子已经建立了多达30个网站,表面上这些网站为用户提供了数千个免费的盗版的WordPress主题和插件。但是实际上是在用户的系统上安装了木马病毒主题插件,其中Ultimate Support Chat是被用的最多的木马病毒插件。

部分受害者在下载并安装了被隐藏的木马程序包后就将此事忘记了,但是这些程序包中隐藏的恶意文件,可以使罪犯完全控制受害者的Web服务器。然后,入侵者可以添加管理帐户,以窃取Web管理员的电子邮件帐户和WordPress密码,甚至可以从中恢复密码。如果管理员给公司的其他系统帐户使用了相同的密码,入侵者甚至可能访问到公司的其他资源。

在交付加载程序的过程中,第一阶段和第二阶段恶意软件的行为如下:

  • 与C&C服务器建立通信

  • 从系统中下载其他文件

  • 通过多个搜索引擎向网站访问者添加永久性Cookie,

  • 随后将其IP地址添加到列表中

  • 收集有关受感染机器的信息

该恶意软件还使犯罪分子可以向受害者的域上添加新的Web链接或关键字,以提高网站SEO配置文件的准确性,即使遇到广告拦截器,也并不能拦截入侵者的广告信息,入侵者可以通过广告服务系统Propeller Ads投放恶意广告。

对于此类攻击,研究人员建议相关企业和管理人员避免使用盗版软件,如果其Web服务器正在运行Windows,则启用和更新Windows Defender进行防御,并且不要在多个帐户之间重用密码。其次,最终的系统用户应定期更新其操作系统和软件,并考虑使用NoScript之类的插件来防止远程JavaScript代码在其计算机上运行。最后研究小组表示,随后研究人员将提供该木马主题的恶意站点,并提供受到感染的指示器,这些都可以帮助企业和管理员检查其Web服务器是否受到了攻击。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。