诸如WordPress,Drupal或Joomla之类的内容管理系统(CMSES)处于恒定的火阻下。今年早些时候,我们详细讨论了对抗疣的几个攻击,也称为德鲁帕格顿,推动基于浏览器的矿工和各种社会工程威胁。

在过去的几天里,我们的爬行者一直捕获较大数量的WordPress网站被劫持。我们看到的最可见的客户端有效载荷之一是Tech支持诈骗页的重定向。挖掘更深,我们发现这是一系列攻击的一部分,自9月初以来已经损害了数千个WordPress网站。

多次注射

受影响的网站正在运行WordPress CMS,并且经常使用过时的插件。我们无法确定这场运动是否因为利用了一个漏洞而变得更糟,尽管最近复制器插件的RCE想到了。Sucuri的朋友相信这是一个多载体组合

威胁参与者以不同的方式注入易受攻击的站点。例如,在客户端,我们看到一个大的编码模糊,通常在HTML标题标记中,以及一个指向外部JavaScript的一行代码。网站所有者也是报告WordPress数据库wp_posts表中的恶意代码。

域名考试器[。]网最近的WHOIS更改(2018-09-16)和有趣的名称:

1a7ea920.比特币dns[.]托管a8332f3a.比特币dns[.]托管ad636824.比特币dns[.]托管c358ea2d.比特币dns[.]托管

重定向流程显示进一步使用编码以加载MP3菜单[.]组织使用2018-09-15及以下名称服务器更新了WHOIS:

A8332F3A.BitCoin-DNS [。]托管AD636824.BitCoin-DNS [。]托管

TKURL模式是众所周知的,并且已经被广泛使用详细记录作为大型交通分发系统(TDS)的一部分,负责大规模重定向到BrowLock页面。注意自定义鼠标光标(“邪恶游标”),我们最近报道, 拥有尚待修补

范围和缓解

在过去的几天内遭到损害的WordPress网站的数量正在增加,这表明这些正在进行的活动。

受这些攻击影响的网站所有者必须对注入的页面、数据库和后门进行彻底清理。更重要的是,他们将需要确定妥协的根本原因,这往往是一个过时的WordPress安装或插件。

必威平台APPMalwarebytes用户运行我们的用户浏览器扩展免受技术支持诈骗页的保护,无需任何签名更新。

妥协指标

137.74.150.112,考试器[。]净,考试课程(URI)51.255.157.138,uustoughtonma [。] Org,考试课程(URI)37.139.5.74,mp3menu [。] Org,考试主导(URI)23.163.0.39,ejyoklygase 23.163.0.39[。] TK,TK TSS Browlock(URI)注入模糊(部分):String.fromCharcode(118,97,114,32,115,111,129,来自Sucuri实验室:ADS.Voipnewswire [。] Net / Ad.js CDN.LALLYUWANT [。]在线/ main.js?t = c