我们看到几十个最近,一些WordPress网站被同样的恶意代码重定向到“垂钓者”漏洞工具包。

攻击涉及有条件的嵌入站点源页面底部的大型代码片段。重要的是要强调这是一个有条件的注射,因为网站管理员试图识别问题可能看不到它,除非他们从新的IP地址和特定的用户代理(Internet Explorer是最有可能被击中的Internet Explorer)。

在过去的几天里,我们看到了一些受欢迎的博客受到影响,包括blogs.independent.co.uk英国报纸的博客独立。

MBAE.

WordPress的妥协

非法代码从可疑的顶级域名加载Flash视频文件,例如.ga.tk..ML.它用于将访问者重定向到钓鱼者利用套件。这是我们记录在一年前的相同攻击模式(暴露Flash'EITEST'恶意软件活动)。

独立_

这些妥协很可能是由于WordPress或其某个插件的已知漏洞造成的。根据SiteCheck来自网络安全公司Sucuri,独立博客正在运行旧版WordPress(2.9.2)。这最新的WordPress版本为4.3.1。

这个特殊的'EITEST竞选活动'从未实际停止过,在过去几个月里持续增加,直到现在。

钓鱼者ek.

垂钓者EK利用Flash Player直到版本19.0.0.207,这是修补了Adobe 10月16日。

致使

必威平台APPMalwarebytes反利用阻止这种攻击,感谢它的主动利用缓解。未受保护的使用者会感染Tinba.银行木马。

我们通知独立但还没有得到他们的回应。如果你是一个网站的所有者,记住要保持你的网站和它的CMS是最新的。同样重要的是,要使用正确的密码并尽可能地加强基础设施,以减少表面攻击。

如果您的WordPress站点受到了影响,请记住,恶意注入代码只是您的站点被黑的症状的一部分。找出后门很重要.htaccess.通过查看您的访问和错误日​​志,修改以及原始入口点。

IOC:

  • RegEx查找嵌入式重定向URL:\ .php \?(s |)id \ = [a-z0-9] {50}
  • Flash转向器(.tk.域名):1168CCCE0808EE8214DBCCB080772A4
  • Flash Exploit(Angler):EED1E7FB49A23C9845015796F1B17449.
  • 恶意软件:31FE96DA59CA2B57DEA81D113ABA2D2