安全厂商Sucuri发现,近日Wordpress用户遭冒充Cloudflare的DDoS保护消息攻击,诱使他们下载窃密或绑架计算机的远程访问木马(trojan access trojan,RAT)程序。
上网时经常可看见DDoS防护页面,这一般是和网页防火墙(WAF)或CDN服务厂商检测网站访客是真人,还是分布式拒绝服务(DDoS)攻击或其他机器人程序有关。一般情形下,DDoS防护网页是用户在前往某网页途中看到执行检查,或是提出技能测试问题,对用户只是有点烦,但没有什么大影响。
但是Securi近日发现一波JavaScript注入攻击特别锁定Wordpress网站,让访问这些网站的用户浏览器跳出假的Cloudflare的DDoS防护通知要求输入网页验证码,同时,用户计算机会被下载恶意.iso文件。受害用户会被要求打开该.iso文件以取得“验证码”。一旦打开,这个档会显示一组可供输入的验证码。
图片来源/Sucuri
但研究人员指出,这个.iso文件其实是RAT文件。根据MalwareBytes研究人员Jerome Segura分析,这个名为NetSupport RAT的恶意程序和FakeUpdates/SocGholish有关,一般是在勒索软件传播前对受害者进行计算机调查。这个ISO档内有冒充执行文件的捷径,可从另一个纯文本档执行PowerShell。此外,它还在用户计算机安装RaccoonStealer,研究人员说它在受害计算机上可以做很多事,像是搜集社群网站或银行帐密、触发勒索软件、绑架用户计算机成为恶意网络一员、勒索计算机持有人、或是窃听、监看用户隐私。
有至少13家安全品牌产品侦测出这个恶意程序。
安全厂商指出,这突显网页安全的重要性,也需要用户上网时保持警戒心。研究人员呼吁网站管理员应将所有软件更新到最新版本、使用强密码、加装防火墙,管理员控制台应激活2FA,并部署文件防护监控方案。
针对一般用户,厂商则提醒应养成良好安全习惯,不要随意打开文件,计算机上的杀毒软件及浏览器等软件应升级到最新版,并激活2FA,浏览器也可考虑封锁JavaScript。