假Cloudflare的DDoS防護頁對WordPress用戶發(fā)動掛馬攻擊

安全廠商Sucuri發(fā)現(xiàn)，近日Wordpress用戶遭冒充Cloudflare的DDoS保護消息攻擊，誘使他們下載竊密或綁架計算機的遠程訪問木馬（trojan access trojan，RAT）程序。

上網(wǎng)時經(jīng)?？煽匆奃DoS防護頁面，這一般是和網(wǎng)頁防火墻（WAF）或CDN服務廠商檢測網(wǎng)站訪客是真人，還是分布式拒絕服務（DDoS）攻擊或其他機器人程序有關(guān)。一般情形下，DDoS防護網(wǎng)頁是用戶在前往某網(wǎng)頁途中看到執(zhí)行檢查，或是提出技能測試問題，對用戶只是有點煩，但沒有什么大影響。

但是Securi近日發(fā)現(xiàn)一波JavaScript注入攻擊特別鎖定Wordpress網(wǎng)站，讓訪問這些網(wǎng)站的用戶瀏覽器跳出假的Cloudflare的DDoS防護通知要求輸入網(wǎng)頁驗證碼，同時，用戶計算機會被下載惡意.iso文件。受害用戶會被要求打開該.iso文件以取得“驗證碼”。一旦打開，這個檔會顯示一組可供輸入的驗證碼。

圖片來源／Sucuri

但研究人員指出，這個.iso文件其實是RAT文件。根據(jù)MalwareBytes研究人員Jerome Segura分析，這個名為NetSupport RAT的惡意程序和FakeUpdates/SocGholish有關(guān)，一般是在勒索軟件傳播前對受害者進行計算機調(diào)查。這個ISO檔內(nèi)有冒充執(zhí)行文件的捷徑，可從另一個純文本檔執(zhí)行PowerShell。此外，它還在用戶計算機安裝RaccoonStealer，研究人員說它在受害計算機上可以做很多事，像是搜集社群網(wǎng)站或銀行帳密、觸發(fā)勒索軟件、綁架用戶計算機成為惡意網(wǎng)絡一員、勒索計算機持有人、或是竊聽、監(jiān)看用戶隱私。

有至少13家安全品牌產(chǎn)品偵測出這個惡意程序。

安全廠商指出，這突顯網(wǎng)頁安全的重要性，也需要用戶上網(wǎng)時保持警戒心。研究人員呼吁網(wǎng)站管理員應將所有軟件更新到最新版本、使用強密碼、加裝防火墻，管理員控制臺應激活2FA，并部署文件防護監(jiān)控方案。

針對一般用戶，廠商則提醒應養(yǎng)成良好安全習慣，不要隨意打開文件，計算機上的殺毒軟件及瀏覽器等軟件應升級到最新版，并激活2FA，瀏覽器也可考慮封鎖JavaScript。