黑客使用窃取的凭证感染 WordPress 网站,并向其发送虚假插件,通过虚假的浏览器更新提示向最终用户发送恶意软件和信息窃取程序。
该恶意活动基于ClickFix假浏览器更新恶意软件的新变种,自 2024 年 6 月以来已使用假 WordPress 插件感染了超过 6,000 个网站。
总体而言,据 GoDaddy 安全团队称,自 2023 年 8 月以来,ClickFix 已感染了超过 25,000 个网站。
假冒 WordPress 插件窃取用户凭证
没有已知的漏洞被利用来传递虚假插件;黑客似乎只是使用了被盗的凭证。
GoDaddy公告称: “日志分析显示,安装假冒 WordPress 插件并未直接利用 WordPress 生态系统中任何已知漏洞。相反,攻击者拥有每个受感染网站的合法 WordPress 管理员凭证。”
这些插件“旨在对网站管理员无害”,但网站访问者可能会看到虚假的浏览器更新和其他恶意提示。
这些插件会注入恶意 JavaScript,其中包含“一种已知的伪造浏览器更新恶意软件变种,该恶意软件使用区块链和智能合约来获取恶意负载”,即 EtherHiding。
在浏览器中执行时,JavaScript 会发送伪造的浏览器更新通知,引导用户在其计算机上安装恶意软件,通常是远程访问木马 (RAT) 或Vidar Stealer 和 Lumma Stealer 等信息窃取程序。
假冒 WordPress 插件:详细信息和 IoC
这些假插件使用通用名称,例如“高级用户管理器”或“快速缓存清理器”,其目录仅包含 3 个小文件:index.php、.DS_Store和-script.js文件,其变体通常基于插件名称。
伪造的 WordPress 插件文件
这些命名方案导致了其他恶意插件的发现:
| 插件名称. | 注入脚本 |
| 管理栏定制器 | 管理栏定制器/abc-script.js |
| 高级用户管理器 | 高级用户管理器/aum-script.js |
| 高级小部件管理 | 高级小部件管理/awm-script.js |
| 内容拦截器 | 内容拦截器/cb-script.js |
| 自定义 CSS 注入器 | 自定义 CSS 注入器/cci-script.js |
| 自定义页脚生成器 | 自定义页脚生成器/cfg-script.js |
| 自定义登录样式器 | 自定义登录样式器/cls-script.js |
| 动态侧边栏管理器 | 动态侧边栏管理器/dsm-script.js |
| 简易主题管理器 | 简易主题管理器/script.js |
| 表单生成器专业版 | form-builder-pro/fbp-script.js |
| 快速缓存清理器 | 快速缓存清理器/qcc-script.js |
| 响应式菜单生成器 | 响应式菜单生成器/rmb-script.js |
| SEO优化专家 | seo-optimizer-pro/sop-script.js |
| 简单的帖子增强器 | 简单后增强器/spe-script.js |
| 社交媒体集成商 | 社交媒体集成器/smi-script.js |
公告称:“底层插件代码故意保持简单,以避免引发危险信号。” wp_enqueue_scripts操作的钩子 被操纵,将插件目录中的有害脚本加载到 WordPress 页面中。
.DS_Store 是桌面服务存储 (Desktop Services Store) 的缩写,是macOS Finder 应用程序创建的用于存储文件夹首选项的隐藏文件。
伪造的插件 .DS_Store 文件不包含任何信息,但可以用作入侵指标 (IoC):
MD5: 194577a7e20bdcc7afbb718f502c134c
SHA 256:d65165279105ca6773180500688df4bdc69a2c7b771752f0a46ef120b7fd8ec3
脚本文件名包含相同的内容,可以通过其哈希值识别:
MD5: 602e1f42d73cadcd73338ffbc553d5a2
SHA 256: a4ad384663963d335a27fa088178a17613a7b597f2db8152ea3d809c8b9781a0
关于 WordPress 凭证被盗的猜测
GoDaddy 的建议指出,有效的 WordPress 管理员凭据的存在表明黑客使用了获取凭据的方法,例如暴力攻击、网络钓鱼活动,甚至是网站管理员计算机上的恶意软件或信息窃取程序感染。
该公告并未提及,但据推测多因素身份验证以及其他访问控制(如设备 ID、健康和位置)将提供一些保护,防止被盗凭证被滥用。
