攻击者被发现使用某些基于流行内容管理平台WordPress和Joomla的网站来传播恶意软件。 攻击者利用扩展程序,插件和主题的弱点,通过隐藏的HTTPS目录隐藏和分发恶意软件和网络钓鱼页面。
来自Zscaler的研究人员Mohd Sadique发表了一份报告,详细介绍了攻击者如何针对WordPress和Joomla的内容管理系统(CMS)进行黑客攻击和内容注入。 据报道,平台管理员没有意识到HTTPS网站上分布Shade勒索软件和托管网络钓鱼页面的知名隐藏目录中的恶意软件。 可以通过扩展程序,插件或主题进行感染。
有问题的隐藏目录用于证明域所有权,作为证书颁发机构(CA)验证过程的一部分。 但是,该目录很少被审查,这意味着,除了攻击者依赖于大多数HTTPS站点上存在的此隐藏目录之外,他们还可以指望在受感染的站点上长期未被发现的恶意内容。
发现脆弱的WordPress网站使用的漏洞版本为4.8.9到当前的5.1.1。 版本。 这些版本可能使用了过时的CMS主题或服务器端软件。
[阅读:WordPress RCE漏洞CVE-2019-8942和CVE-2019-8943的技术分析]
在检测到的恶意软件数量激增的过程中,研究人员发现Shade勒索软件是部署到站点访问者的主要威胁之一。 其他恶意负载包括网络钓鱼页面,广告软件和硬币矿工。 还发现通过 EXE文件通过进行分发。 msg.jpg 和 msges.jpg 。 勒索软件通常通过恶意垃圾邮件 包含。 ZIP附件或包含下载Zip文件的HTML链接的页面。 垃圾邮件声称是来自俄罗斯组织的订单更新。
[垃圾邮件警报:正在通过PDF中的嵌入式链接传递SHADE勒索软件]
另一方面,网络钓鱼页面则托管在经过SSL验证的隐藏目录和弹出窗口中,以诱骗访问者输入用户凭据。 该活动的页面伪装成DHL,Dropbox,OneDrive和Yahoo! 邮寄登录页面,以进行恶意尝试。 CMS用户的最佳做法
建议管理员定期更新CMS或使用虚拟补丁程序来解决尚未收到补丁程序的漏洞。 经常检查网站是否存在可利用的漏洞,并禁用或删除过时或未使用的插件。 管理员还应该考虑对用户的本地管理员访问权限设置更严格的限制。
同样,用户应警惕链接和附件,尤其是未经请求的电子邮件。 收件人应忽略垃圾邮件,以免被恶意软件感染或重定向到网络钓鱼页面。 用户还应该针对电子邮件威胁采取基本的安全措施。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢