近期有800多个WordPress网站遭植入恶意程序,网络安全业者Avast发现,这是一起复杂的攻击手法,先诱使造访遭入侵网站的用户安装假Java Runtime,最终将安装恶意Chrome扩充程序,用以窃取受害者密码、凭证等。
网络安全业者Avast在本周揭露了一起复杂的Chaes金融木马攻击手法,黑客先入侵了800个WordPress网站,再引诱造访相关网站的使用者安装假冒的Java Runtime,进而于Chrome浏览器上植入恶意扩充程序,目的是为了窃取存放于Chrome上的机密凭证。
目前Avast并不确定黑客是如何入侵众多WordPress网站的,猜测是开采WordPress内容管理系统的安全漏洞,且在这800个被骇网站中,有超过700个都是使用巴西的顶级网域名称,显示此一攻击锁定的是巴西用户。
目前推测黑客利用wordpress内容管理系统的安全漏洞进行攻击
当使用者造访了已遭入侵的WordPress网站之后,就会跳出一个要求使用者安装Java Runtime的视窗,它看起来就象是真的Java安装功能,但实际安装的却是install.js、sched.js与sucesso.js等3个恶意的JavaScript档案,install.js负责下载另一个脚本程序,以部署下一阶段所需的Python环境,sched.js主要建立长驻能力,sucesso.js则担任向C&C服务器回报任务进度的角色。
接着便进入了Python的存储器内载入程序,它会载入各种Python/JavaScript脚本程序、Shellcode、Delphi DLLs与.NET PE等,直至执行Instructions.js。
而Instructions.js的任务即是下载恶意的Chrome扩充程序,包括纪录受害者指纹的Online、可撷取荧幕画面的Mtps4、可自Chrome窃取密码的、金融木马Chronodx,以及锁定在线购物平台Mercado Libre凭证的Chremows。