根據(jù)Wordfence的Defiant威脅情報(bào)團(tuán)隊(duì),正在進(jìn)行的惡意廣告活動(dòng)針對(duì) Coming Soon Page & Maintenance Mode WordPress插件中的未經(jīng)身份驗(yàn)證的存儲(chǔ)跨站腳本(XSS)漏洞。
該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者將JavaScript或HTML代碼注入運(yùn)行插件版本1.7.8或更低版本的WordPress網(wǎng)站的博客前端。
Wordfence檢測(cè)到的惡意廣告活動(dòng)導(dǎo)致受損的WordPress網(wǎng)站“顯示不需要點(diǎn)擊的彈出廣告,并將訪問者重定向到惡意目的地,包括技術(shù)支持詐騙、惡意Android APK和粗略的制藥廣告。”
惡意重定向和彈出廣告
用于感染站點(diǎn)的JavaScript有效負(fù)載將從其他第三方域加載其他代碼,以構(gòu)建為受感染網(wǎng)站的訪問者執(zhí)行的完整惡意負(fù)載。
在每次有效負(fù)載執(zhí)行時(shí),目標(biāo)將自動(dòng)重定向到第二個(gè)域,該域通過檢查瀏覽器的用戶代理字符串,基于訪問者使用的設(shè)備類型將它們重定向到第三個(gè)目標(biāo)URL,還使用cookie來跟蹤返回的受害者。
“最終的目的地網(wǎng)站的范圍和意圖各不相同。有些網(wǎng)站用戶會(huì)根據(jù)藥品和色情內(nèi)容的典型非法廣告重定向,而其他網(wǎng)站會(huì)嘗試針對(duì)用戶的瀏覽器進(jìn)行直接的惡意活動(dòng),”Wordfence發(fā)現(xiàn)。
攻擊者還利用彈出廣告作為濫用其目標(biāo)的替代方法,代碼注入來自以前受到破壞的網(wǎng)站以及存儲(chǔ)在受感染網(wǎng)站上的基于JavaScript的腳本,這些腳本被用作注入廣告的惡意廣告活動(dòng)的一部分。
通過webshel??l發(fā)起的XSS攻擊
“一旦所有內(nèi)容都被觸發(fā),受害者的瀏覽器將在下次點(diǎn)擊或點(diǎn)擊頁面時(shí)在新標(biāo)簽頁中打開所選地址,”Wordfence補(bǔ)充道。
操作此活動(dòng)的威脅參與者發(fā)起的XSS注入攻擊源自連接到流行的托管提供商的IP地址,攻擊者利用具有有限功能的混淆的PHP shell通過任意命令通過代理發(fā)起XSS攻擊。
Wordfence總結(jié)道,攻擊者“正在利用一小部分受到攻擊的網(wǎng)站來執(zhí)行這些攻擊以隱藏其活動(dòng)來源”,他們很可能“利用可能在不久的將來披露的任何類似的XSS漏洞”。
有關(guān)這些攻擊的內(nèi)部工作原理的更多詳細(xì)信息,以及包括惡意軟件哈希,域和攻擊IP地址在內(nèi)的受損(IOC)指標(biāo),都是由惡意威脅情報(bào)團(tuán)隊(duì)在惡意廣告活動(dòng)報(bào)告結(jié)束時(shí)提供的。
安全無小事,我們應(yīng)該正視各種可能存在的安全問題,不要認(rèn)為自己的網(wǎng)站很小就會(huì)沒事,只要你的網(wǎng)站有安全問題,都應(yīng)該時(shí)刻保持警惕!
最新的安全漏洞,請(qǐng)看《WordPress主題插件相關(guān)漏洞匯總(2019年7月)》
