苏州众里数码半导体行业信息安全专家

服务热线:18625216903
众里成立8大社群,1000+CIO人才构建行业生态链

黑客借由入侵WordPress网站,计算机被植入恶意的Chrome扩充程序

2022-01-27

近期有800多个WordPress 网站遭植入恶意程序,网络安全业者Avast发现,这是一起复杂的攻击手法,先诱使造访遭入侵网站的用户安装假 Java Runtime,最终将安装恶意Chrome扩充程序,用以窃取受害者密码、凭证等

网络安全业者Avast在本周揭露了一起复杂的Chaes 金融木马攻击手法,黑客先入侵了800WordPress网站,再引诱造访相关网站的使用者安装假冒的 Java Runtime,进而于Chrome浏览器上植入恶意扩充程序,目的是为了窃取存放于Chrome 上的机密凭证。

企业信息安全

目前Avast并不确定黑客是如何入侵众多WordPress网站的,猜测是开采 WordPress内容管理系统的安全漏洞,且在这800个被骇网站中,有超过700 个都是使用巴西的顶级网域名称,显示此一攻击锁定的是巴西用户。

目前推测黑客利用wordpress内容管理系统的安全漏洞进行攻击

当使用者造访了已遭入侵的WordPress网站之后,就会跳出一个要求使用者安装Java Runtime 的视窗,它看起来就象是真的Java安装功能,但实际安装的却是install.js sched.jssucesso.js3个恶意的 JavaScript档案,install.js负责下载另一个脚本程序,以部署下一阶段所需的Python 环境,sched.js主要建立长驻能力,sucesso.js则担任向 C&C服务器回报任务进度的角色。

接着便进入了Python的存储器内载入程序,它会载入各种Python/JavaScript 脚本程序、ShellcodeDelphi DLLs.NET PE 等,直至执行Instructions.js

Instructions.js的任务即是下载恶意的Chrome扩充程序,包括纪录受害者指纹的 Online、可撷取荧幕画面的Mtps4、可自Chrome窃取密码的、金融木马 Chronodx,以及锁定在线购物平台Mercado Libre凭证的Chremows

相关推荐
  • 2014.01.05

咨询热线

18625216903