假Cloudflare的DDoS防护页对WordPress用户发动挂马攻击

码农 • 2023年9月23日 22:36 • 游戏攻略

安全厂商Sucuri发现，近日Wordpress用户遭冒充Cloudflare的DDoS保护信息攻击，诱使他们下载窃密或绑架计算机的远程存取木马（trojan access trojan，RAT）程序。

上网时经常可看见DDoS防护页面，这一般是和网页防火墙（WAF）或CDN服务厂商检测网站访客是真人，还是分布式阻断服务（DDoS）攻击或其他机器人程序有关。一般情形下，DDoS防护网页是用户在前往某网页途中看到执行检查，或是提出技能测试问题，对用户只是有点烦，但没有什么大影响。

但是Securi近日发现一波JavaScript注入攻击特别锁定Wordpress网站，让访问这些网站的用户浏览器跳出假的Cloudflare的DDoS防护通知要求输入网页验证码，同时间，用户电脑会被下载恶意.iso文件。受害用户会被要求开启该.iso文件以取得验证码。一旦开启，这个文件会显示一组可供输入的验证码。

图片来源/Sucuri

但研究人员指出，这个.iso文件其实是RAT文件。根据MalwareBytes研究人员Jerome Segura分析，这个名为NetSupport RAT的恶意程序和FakeUpdates/SocGholish有关，一般是在勒索软件散布前对受害者进行计算机调查。这个ISO文件内有冒充执行文件的捷径，可从另一个纯文字文件执行PowerShell。此外，它还在用户电脑安装RaccoonStealer，研究人员说它在受害电脑上可以做很多事，像是搜集社群网站或银行帐密、触发勒索软件、绑架用户电脑成为恶意网络一员、勒索电脑持有人、或是窃听、监看用户隐私。

有至少13家安全品牌产品侦测出这个恶意程序。

安全厂商指出，这突显网页安全的重要性，也需要用户上网时保持警戒心。研究人员呼吁网站管理员应将所有软件更新到最新版本、使用强密码、加装防火墙，管理员控制台应启用2FA，并部署档案防护监控方案。

针对一般用户，厂商则提醒应养成良好安全习惯，不要随意开启档案，电脑上的防毒软件及浏览器等软件应升级到最新版，并启用2FA，浏览器也可考虑封锁JavaScript。