苏州众里数码科技有限公司 版权所有 备案号:苏ICP备19031672号-1 百度统计 | 技术支持:牛商股份
近期有800多个WordPress 网站遭植入恶意程序,网络安全业者Avast发现,这是一起复杂的攻击手法,先诱使造访遭入侵网站的用户安装假 Java Runtime,最终将安装恶意Chrome扩充程序,用以窃取受害者密码、凭证等 。
网络安全业者Avast在本周揭露了一起复杂的Chaes 金融木马攻击手法,黑客先入侵了800个WordPress网站,再引诱造访相关网站的使用者安装假冒的 Java Runtime,进而于Chrome浏览器上植入恶意扩充程序,目的是为了窃取存放于Chrome 上的机密凭证。
目前Avast并不确定黑客是如何入侵众多WordPress网站的,猜测是开采 WordPress内容管理系统的安全漏洞,且在这800个被骇网站中,有超过700 个都是使用巴西的顶级网域名称,显示此一攻击锁定的是巴西用户。
目前推测黑客利用wordpress内容管理系统的安全漏洞进行攻击
当使用者造访了已遭入侵的WordPress网站之后,就会跳出一个要求使用者安装Java Runtime 的视窗,它看起来就象是真的Java安装功能,但实际安装的却是install.js、 sched.js与sucesso.js等3个恶意的 JavaScript档案,install.js负责下载另一个脚本程序,以部署下一阶段所需的Python 环境,sched.js主要建立长驻能力,sucesso.js则担任向 C&C服务器回报任务进度的角色。
接着便进入了Python的存储器内载入程序,它会载入各种Python/JavaScript 脚本程序、Shellcode、Delphi DLLs与.NET PE 等,直至执行Instructions.js。
而Instructions.js的任务即是下载恶意的Chrome扩充程序,包括纪录受害者指纹的 Online、可撷取荧幕画面的Mtps4、可自Chrome窃取密码的、金融木马 Chronodx,以及锁定在线购物平台Mercado Libre凭证的Chremows 。
咨询热线
18625216903