外星人S博士
近期,WordPress网站遭到恶意插件的攻击,这些插件展示虚假的软件更新和错误信息,从而导致信息窃取恶意软件的安装。BleepingComputer 报道,自2023年以来,一个名为 ClearFake 的恶意活动通过在受损网站上显示虚假的 Web 浏览器更新横幅来传播信息窃取恶意软件。2024年,一个名为 ClickFix 的新活动被引入,展现出与 ClearFake 的许多相似之处,但它假装显示软件错误信息并提供修复。 这些所谓的“修复”实际上是 PowerShell 脚本,一旦执行,就会下载并安装信息窃取恶意软件。上周,GoDaddy 报告称,ClearFake 和 ClickFix 的攻击者已攻陷超过6000个WordPress网站,安装恶意插件,显示与这些活动相关的虚假警报。GoDaddy 安全研究员 Denis Sinegubko 解释说,他们正在追踪 ClickFix(也称为 ClearFake)假浏览器更新恶意软件的新变种,后者通过虚假的WordPress插件进行传播。 这些看似合法的插件旨在对网站管理员看起来无害,但实际上它们包含嵌入式恶意脚本,向最终用户提供虚假的浏览器更新提示。恶意插件使用类似于合法插件的名称,如 Wordfense Security 和 LiteSpeed Cache,另一些则使用通用的虚构名称。网站安全公司 Sucuri 也提到,一个名为“Universal Popup Plugin”的虚假插件是此活动的一部分。 一旦安装,恶意插件将根据变种挂钩各种 WordPress 操作,并将恶意 JavaScript 脚本注入网站的 HTML 中。加载该脚本时,会尝试加载存储在 Binance Smart Chain(BSC)智能合约中的另一个恶意 JavaScript 文件,然后加载 ClearFake 或 ClickFix 脚本以显示虚假横幅。根据 Sinegubko 分析的 Web 服务器访问日志,攻击者似乎利用被盗的管理员凭据自动登录 WordPress 网站并安装插件。
