WordPress網(wǎng)站一直是高度活躍的惡意活動(dòng)的目標(biāo)�����,該活動(dòng)通過名為WP-VCD的惡意軟件感染它們�����,該惡意軟件隱藏在視線中,并迅速傳播到整個(gè)網(wǎng)站���。
其背后的一群黑客還確保�,一旦設(shè)法破壞站點(diǎn)��,他們的惡意有效載荷也很難被清除��。更糟糕的是��,該惡意軟件還設(shè)計(jì)為通過托管服務(wù)器進(jìn)行掃描���,并感染其找到的任何其他WordPress網(wǎng)站����。
WP-VCD受到最近影響WordPress網(wǎng)站的最活躍的惡意活動(dòng)的傳播�����,Wordfence威脅情報(bào)團(tuán)隊(duì)對(duì)其進(jìn)行了更仔細(xì)的研究��,將“個(gè)別WP-VCD惡意軟件樣本與新的感染率比其他任何WordPress高”自2019年8月以來就是惡意軟件������!
該惡意軟件還“最近幾個(gè)月每周安裝在比其他任何惡意軟件都要多的新站點(diǎn)上”�����,并且“該活動(dòng)沒有跡象表明運(yùn)行速度放慢”�����。
考慮到該惡意軟件已經(jīng)運(yùn)行了兩年多�����,這是非常了不起的�,第一例公開報(bào)告的WP-VCD感染病例可追溯到2017年2月�,并且用戶報(bào)告了感染并尋求有關(guān)如何清除的建議。的它們WordPress支持論壇[ 1��,2�,3�,4,5 ]�,并在互聯(lián)網(wǎng)上的不同等地。[ 1����,2����,3 ]
盜版插件和受侵害的網(wǎng)站用于分發(fā)
威脅參與者通常利用CMS安全漏洞影響WordPress平臺(tái)來滲透網(wǎng)站并注入惡意代碼���,而對(duì)于WP-VCD��,網(wǎng)站管理員是將感染傳播到他們的網(wǎng)站的人��。
發(fā)生這種情況的原因是�,該惡意軟件是使用WordPress主題的盜版(也稱為null)副本散布的���,這些WordPress主題和插件當(dāng)前已通過大型惡意網(wǎng)站網(wǎng)絡(luò)分發(fā)�。這些通常會(huì)出現(xiàn)在Google搜索結(jié)果的前幾個(gè)結(jié)果中�,并將WordPress插件的合法來源推到頁面的下方。
為了能夠建立一個(gè)有效的分發(fā)平臺(tái)來推廣其惡意軟件充斥的網(wǎng)站��,WP-VCD的運(yùn)營商通過黑帽SEO技巧(例如在受害網(wǎng)站內(nèi)進(jìn)行反向鏈接和關(guān)鍵字注入)來利用廣泛的病毒式營銷��。
Wordfence發(fā)現(xiàn):“此功能為廣告系列的病毒式營銷循環(huán)提供了動(dòng)力�����。站點(diǎn)所有者由于其較高的搜索引擎可見性而找到了一個(gè)無效的主題,然后將其安裝在其站點(diǎn)上���,” Wordfence發(fā)現(xiàn)���。
他們清零內(nèi)容分發(fā)網(wǎng)絡(luò)使用下載freethemes [.]下載作為中央下載服務(wù)器使該集團(tuán)通過所有惡意軟件的網(wǎng)站發(fā)貨傳播惡意軟件的版本相同。
根據(jù)Wordfence的建議��,WordPress網(wǎng)站所有者和網(wǎng)站管理員可以很容易地防止WP-VCD感染�,建議他們不要安裝空主題和插件。此外����,“如果您已雇用開發(fā)人員來構(gòu)建新的WordPress網(wǎng)站,請(qǐng)確保他們負(fù)責(zé)任地采購其所有內(nèi)容�。”
Wordfence還為 已感染網(wǎng)站的所有者提供了 網(wǎng)站清理指南��,以及有關(guān)如何保護(hù)WordPress網(wǎng)站 以防止將來受到攻擊的詳細(xì)過程�����。
WP-VCD感染和貨幣化
“ WP-VCD惡意軟件在該站點(diǎn)上傳播�����,并且如果存在于同一托管環(huán)境中�����,則可能傳播得更多����,并向所有這些反向鏈接注入反向鏈接。這些反向鏈接進(jìn)一步推動(dòng)了被感染無效主題的流量��,并且這種循環(huán)還在繼續(xù)������!
一旦在WordPress網(wǎng)站上激活了盜版主題或插件,惡意軟件將執(zhí)行部署程序腳本�����,該腳本將后門插入所有已安裝的主題文件中�����,并重置時(shí)間戳以使其與注入過程中的值匹配�����,從而避免檢測(cè)。
后門“可以同時(shí)通過入站和出站請(qǐng)求接收指令��,從而使其活動(dòng)更加難以跟蹤”��,并且允許操作員將惡意代碼部署到所有受感染的站點(diǎn)���,以“根據(jù)需要激活惡意注入或操縱其站點(diǎn)的搜索引擎結(jié)果���,然后只需從服務(wù)器中刪除代碼即可將其從整個(gè)網(wǎng)絡(luò)中刪除�!
WP-VCD組使用受感染的WordPress網(wǎng)站網(wǎng)絡(luò)進(jìn)行病毒式營銷,從而使他們能夠迅速獲得廣告收入�。
如果來自虹吸廣告收入的資金枯竭,他們可以很容易地重新打開黑帽SEO機(jī)器�,并在Google SERP中增強(qiáng)其惡意軟件分發(fā)站點(diǎn),以重定向搜索引擎流量�����,從而導(dǎo)致更多受害者被感染��。
惡意軟件部署程序腳本還負(fù)責(zé)回電到命令和控制(C2)服務(wù)器,并向攻擊者發(fā)送受感染站點(diǎn)的地址和后門的硬編碼密碼�。Wordfence在監(jiān)視最新感染的同時(shí)檢測(cè)了一百多個(gè)WP-VCD C2域。
一旦完全破壞了站點(diǎn)���,部署人員還將負(fù)責(zé)從網(wǎng)站站長安裝的空插件或主題中刪除惡意代碼。
Wordfence威脅分析師Mikey Veenstra發(fā)現(xiàn):“在幕后����,廣泛的命令和控制(C2)基礎(chǔ)結(jié)構(gòu)以及自我修復(fù)感染使攻擊者能夠在這些受感染的站點(diǎn)上保持立足之地�!
Wordfence的 WP末尾提供了有關(guān)該惡意軟件的內(nèi)部運(yùn)作方式的更多詳細(xì)信息以及完整的指標(biāo)(IOC)列表,其中包括活動(dòng)中使用的空內(nèi)容分發(fā)站點(diǎn)��,C2域����,黑帽SEO域和推進(jìn)器廣告域。-VCD:您在自己的網(wǎng)站上安裝的惡意軟件白皮書��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
