黑客正劫持WordPress构建的网站以推送恶意软件
安全研究人员发现,黑客正在利用过时的 WordPress 版本和插件篡改数以千计的网站,企图诱骗访问者下载和安装恶意软件。发现这些攻击的网络安全公司C/side的创始人兼首席执行官 Simon Wijckmans 周二表示,黑客活动仍然"非常活跃"。
黑客的目标是传播恶意软件,窃取 Windows 和 Mac 用户的密码和其他个人信息,一些被黑网站甚至是为互联网上最受欢迎的网站之一。
撰写公司调查结果的 Himanshu Anand 表示:"这是一次广泛且非常商业化的攻击。 该活动是一种"喷射和付费"攻击,旨在攻击访问这些网站的任何人,而不是针对特定的个人或群体。"
研究人员发现,当被黑客攻击的 WordPress 网站在用户浏览器中加载时,内容会迅速改变,显示一个虚假的 Chrome 浏览器更新页面,要求网站访问者下载并安装更新,以便浏览网站。 如果访问者接受更新,黑客网站会提示访问者下载一个伪装成更新的特定恶意文件,这取决于访问者使用的是 Windows PC 还是 Mac。
Wijckmans 说,他们已经向开发和发布 WordPress.com 的 Automattic 公司发出了黑客攻击警告,并向他们发送了恶意域名列表,该公司的联系人也确认收到了他们的电子邮件。
Automattic方面未予置评。
C/side表示,它发现有1万多个网站似乎在这次黑客攻击活动中受到了攻击。 Wijckmans说,该公司通过抓取互联网和进行DNS反向查询(一种查找与某个IP地址相关的域名和网站的技术),在多个域名上检测到了恶意脚本,从而发现了更多托管恶意脚本的域名;
虽然无法证实 c/side 数据的准确性,但我们可以看到一个被黑的 WordPress 网站在周二仍在显示恶意内容。
恶意网站上推送的两种恶意软件分别是针对 macOS 用户的 Amos(或 Amos Atomic Stealer)和针对 Windows 用户的 SocGholish。
2023 年 5 月,网络安全公司 SentinelOne 发布了一份关于 Amos 的报告,将该恶意软件归类为 信息窃取程序,这是一种恶意软件,旨在感染计算机并窃取尽可能多的用户名和密码、会话 cookie、加密货币钱包和其他敏感数据,以便黑客进一步侵入受害者的账户并窃取其数字货币。 网络安全公司 Cyble 当时报告称,它发现黑客正在 Telegram 上出售 Amos 恶意软件的访问权限。
macOS 安全专家、专注于苹果的网络安全初创公司 DoubleYou 的联合创始人 Patrick Wardle 称,Amos"无疑是 macOS 上最多产的窃取程序",它是以恶意软件即服务的商业模式创建的,这意味着恶意软件的开发者和所有者将其出售给黑客,然后由黑客进行部署。
Wardle还指出,如果有人要在macOS上成功安装c/side发现的恶意文件,"用户还必须手动运行它,并绕过苹果的内置安全系统,跳过重重障碍"。
虽然这可能不是最先进的黑客攻击活动,但鉴于黑客依赖于他们的目标上当受骗,然后安装恶意软件,这是一个很好的提醒,提醒用户通过内置的软件更新功能更新您的 Chrome 浏览器,并在个人设备上只安装受信任的应用程序;
密码窃取恶意软件和凭证被盗是历史上一些最大的黑客攻击和数据泄露事件的罪魁祸首。 2024 年,黑客利用从云计算巨头 Snowflake 的客户员工电脑中窃取的密码,大规模攻击了将敏感数据托管给 Snowflake 的企业巨头的账户。