WordPress 网站被黑客入侵以显示虚假的 Cloudflare DDoS 保护页面,以分发安装 NetSupport RAT 和 RaccoonStealer 密码窃取木马的恶意软件。
DDoS(分布式拒绝服务)保护屏幕在 Internet 上很常见,它保护网站免受以虚假请求 ping 它们的机器人的攻击,旨在用垃圾流量淹没它们。
互联网用户将这些“欢迎屏幕”视为不可避免的短期烦恼,以保护他们喜爱的在线资源免受恶意操作者的侵害。不幸的是,这种熟悉程度为恶意软件活动提供了绝佳的机会。
正如 Sucuri的一份报告中所详述的那样,威胁行为者正在入侵保护不佳的 WordPress 网站,以添加一个严重混淆的 JavaScript 有效负载,该有效负载显示一个虚假的 Cloudflare 保护 DDoS 屏幕。
要求访问者单击按钮以绕过 DDoS 保护屏幕。但是,单击该按钮会将“security_install.iso”文件下载到计算机,该文件伪装成绕过 DDoS 验证所需的工具。
然后受害者被告知打开 security_install.iso,他们假装它是一个名为 DDOS GUARD 的应用程序,并输入显示的代码。
验证码提示和生成器
验证码提示(上)和生成器(下) (Sucuri)
当用户打开 security_install.iso 时,他们会看到一个名为 security_install.exe 的文件,它实际上是一个 Windows 快捷方式,可以从 debug.txt 文件运行 PowerShell 命令。
最终,这会导致一系列脚本运行,显示查看站点所需的虚假 DDoS 代码,并安装 NetSupport RAT,这是一种在当今恶意活动中广泛使用的远程访问木马。
此外,脚本将下载 Raccoon Stealer 密码窃取木马并在设备上启动它。
虚假 Cloudflare DDoS 防护的攻击链
假 Cloudflare DDoS 防护 (Sucuri)的攻击链
Raccoon Stealer 于今年6 月恢复运营,当时其作者发布了第二个主要版本,并以订阅模式提供给网络犯罪分子。
Raccoon 2.0 针对保存在 Web 浏览器、各种加密货币钱包中的密码、cookie、自动填充数据和信用卡,它还能够执行文件泄露和截取受害者桌面的屏幕截图。
如何保护
管理员应检查其 WordPress 网站的主题文件,根据 Sucuri 的说法,这是该活动中最常见的感染点。
在 jquery.min.js 中发现恶意代码
此外,建议使用文件完整性监控系统来捕获那些发生的 JS 注入,并防止您的站点成为 RAT 分发点。
互联网用户可以通过在浏览器上启用严格的脚本阻止设置来保护自己免受此类威胁,尽管这会破坏几乎所有网站的功能。
最后,请记住,下载 ISO 文件绝不是合法反 DDoS 程序的一部分,因此即使您出于粗心这样做,也不要解压或运行其内容。
