根據(jù)Wordfence的Defiant威脅情報團隊,正在進行的惡意廣告活動針對即將到來的頁面和維護模式WordPress插件中的未經(jīng)身份驗證的存儲跨站腳本(XSS)漏洞�。
現(xiàn)在修補的漏洞允許未經(jīng)身份驗證的攻擊者將java script或HTML代碼注入運行插件版本1.7.8或更低版本的WordPress網(wǎng)站的博客前端。
Wordfence檢測到的惡意廣告活動導致受損的WordPress網(wǎng)站“顯示不需要的彈出廣告����,并將訪問者重定向到惡意目的地,包括技術支持詐騙�����,惡意Android APK和粗略的制藥廣告�����!
惡意重定向和彈出廣告
用于感染站點的java script有效負載將從其他第三方域加載其他代碼����,以構建為受感染網(wǎng)站的訪問者執(zhí)行的完整惡意負載。
在每次有效負載執(zhí)行時���,目標將自動重定向到第二個域�����,該域通過檢查瀏覽器的用戶代理字符串�����,基于訪問者使用的設備類型將它們發(fā)送到第三個目標URL����,還使用cookie來跟蹤返回的受害者���。
“最終的目的地網(wǎng)站的范圍和意圖各不相同��。有些網(wǎng)站用戶會根據(jù)藥品和色情內(nèi)容的典型非法廣告重定向�,而其他網(wǎng)站會嘗試針對用戶的瀏覽器進行直接的惡意活動,”Wordfence發(fā)現(xiàn)�����。
攻擊者還利用彈出廣告作為濫用其目標的替代方法���,代碼注入來自以前受到破壞的網(wǎng)站以及存儲在受感染網(wǎng)站上的基于java script的腳本��,這些腳本被用作注入廣告的惡意廣告活動的一部分�。
通過webshell發(fā)起的XSS攻擊
“一旦所有內(nèi)容都被觸發(fā)�,受害者的瀏覽器將在下次點擊或點擊頁面時在新標簽頁中打開所選地址,”Wordfence補充道����。
操作此活動的威脅參與者發(fā)起的XSS注入攻擊源自連接到流行的托管提供商的IP地址�,攻擊者利用具有有限功能的混淆的PHP shell通過任意命令通過代理發(fā)起XSS攻擊。
有關這些攻擊的內(nèi)部工作原理的更多詳細信息��,以及包括惡意軟件哈希����,域和攻擊IP地址在內(nèi)的受損(IOC)指標�����,都是由惡意威脅情報團隊在惡意廣告活動報告結束時提供的����。
以前的廣告系列定位到WordPress網(wǎng)站
這不是一個新穎的活動��,類似的活動利用社交戰(zhàn)中的漏洞 �,黃鉛筆視覺主題定制器,Easy WP SMTP和 Yuzo相關帖子 插件安裝在成千上萬的WordPress網(wǎng)站上�����。
在這些攻擊的情況下�,漏洞利用程序也使用托管在攻擊者控制的域上的惡意腳本,同一個壞人在所有四個活動后面�。
在2018年12月,一個由超過20,000個WordPress網(wǎng)站組成的大型僵尸網(wǎng)絡被用來攻擊和感染其他一些網(wǎng)站����,這些網(wǎng)站一旦被入侵也被添加到僵尸網(wǎng)絡中。
其運營商使用僵尸網(wǎng)絡來強制其他WordPress站點的登錄�����,超過500萬次身份驗證強力嘗試被阻止,超過14,000個代理服務器用于匿名攻擊期間檢測到的C2命令�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
