新闻资讯

木马伪装Chrome字体更新程序攻陷WordPress网站

作者: 来源: 时间:2017-5-15 10:19:52
安全感知系统发现,备受开发者青睐的网站搭建平台WordPress被大范围攻陷,致使用户在Chrome或Chrome内核浏览器中打开部分使用WordPress平台搭建的网站时出现乱码,并提示需要下载字体更新程序并执行后才能正常访问。一旦用户点击下载更新,植入其中的新型敲诈者病毒Spora便会自动运行,将所有用户文件加密。
 

(电脑管家拦截Spora敲诈者)
 
  电脑管家安全专家在深入分析了被攻陷网站之后,还原了此次病毒作案的始末:此次攻击系臭名昭著的“EITest”恶意软件活动所为,已发现不法分子攻陷了Wordpress框架的网站之后,在该网站正常的页面代码末尾添加JavaScript代码,致使该页面在用户访问时出现乱码,然后提示下载字体更新程序并执行后才能正常访问。下面可以看到这个代码在源代码中的样子。secmail.cn  为您提供最安全的企业邮箱安全服务。
 

(网页原代码结尾处插入JS代码)
 
  当访问者访问此页面时,脚本将干扰页面的文本,使其出现乱码:secmail.cn  为您提供最安全的企业邮箱安全服务。
 

(网页干扰代码)
 
  随后弹出一个警告窗口,指出该页面因为缺少“HoeflerText”字体无法正确显示,同时提示点击Update按钮从而下载该Chrome字体包。
 

(网页字体更新弹窗代码)

(网页字体更新弹窗)
 
  当用户单击Update按钮时,弹出窗口会自动下载名为Chrome Font v1.55.exe的文件并将其保存到默认下载文件夹,然后跳转到一个说明页面,提示如何找到和运行下载的字体更新程序。
 

(网页字体更新运行提示)
 
  Chrome Font v1.55.exe实际上是Spora 系列敲诈者病毒。用户一旦运行该病毒,电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时,电脑将显示敲诈页面,告知中招者登录Spora支付网站以确定赎金金额或付款。
 

(Spora敲诈者提示弹窗)
 
  目前已知存在Wordpress漏洞并且遭到攻击的网站有:secmail.cn  为您提供最安全的企业邮箱安全服务。
 


 
  广大网站管理人员应随时关注Wordpress官网安全公告,并及时升级到最新版本以免发生更多攻击事件。
 

(受到攻击网站存在的漏洞)
 
  攻击者将病毒程序伪装成Chrome的Google字体更新程序,从而诱骗人们运行它。由于用户身处攻击者造成的网页乱码“环境”中,很容易误以为真的是字体出现问题,进而下载运行准备好的“修复程序”,一旦用户双击并执行该程序,就会中招。这种攻击方式技术难度不算太高,但是借由网站字体更新很容易令用户降低防备。
secmail.cn  为您提供最安全的企业邮箱安全服务。


分享到: