HackerNews 编译,转载请注明出处:
网络安全研究人员警告称,针对WooCommerce用户的大规模钓鱼活动正在蔓延。攻击者通过伪造“关键安全补丁”警报,诱骗用户下载后门程序。
WordPress安全公司Patchstack将此次行动描述为“复杂攻击”,并指出其与2023年12月观察到的另一项活动存在关联——当时攻击者同样利用虚构的CVE漏洞入侵网站。
鉴于钓鱼邮件话术、伪造网页及恶意软件隐藏手法的高度相似性,研究人员认为最新攻击可能出自同一威胁组织,或是模仿此前攻击的新团伙。
安全研究员Chazz Wolcott表示:“攻击者声称目标网站存在(不存在的)‘未认证管理访问’漏洞,并诱导用户访问通过国际化域名同形异义字攻击(IDN homograph)伪装的虚假WooCommerce官网。”钓鱼邮件中的“下载补丁”链接会将用户重定向至域名“woocommėrce[.]com”(注意用‘ė’替代‘e’),并下载名为“authbypass-update-31297-id.zip”的恶意ZIP文件。
受害者按提示安装该“补丁”(实为恶意WordPress插件)后,将触发以下恶意行为:
- 创建隐藏管理员账户:通过随机命名的定时任务(每分钟运行一次),生成混淆用户名和随机密码的管理员账号;注册受感染站点:向外部服务器“woocommerce-services[.]com/wpapi”发送HTTP GET请求,传递账号密码及网站URL;获取第二阶段载荷:从“woocommerce-help[.]com/activate”或“woocommerce-api[.]com/activate”下载混淆处理的后续攻击载荷;部署网页后门:解码载荷后安装P.A.S.-Fork、p0wny和WSO等网页后门;隐藏攻击痕迹:从插件列表中删除恶意插件,并隐藏创建的管理员账户。
攻击最终使黑客获得网站远程控制权,可实施广告注入、用户重定向、组建DDoS僵尸网络,甚至加密服务器资源进行勒索。
研究人员建议用户立即扫描可疑插件和管理员账户,并确保所有软件更新至最新版本。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
