URL重定向恶意软件感染了数千个WordPress网站

URL重定向恶意软件感染了数千个WordPress网站

一项新的研究显示,攻击者已经通过未打补丁的产品和生命周期终止的插件控制了2,000多个WordPress网站,以将毫无戒心的访问者重定向到“按需调查”的欺诈网站。

流行的内容管理系统的易受攻击的插件包括带有PayPal的CP Contact Form,具有3,000多个活动安装的插件以及现已停产的Simple Fields。

发现这些攻击的研究人员发现,恶意JavaScript已被注入受感染站点的WordPress index.php主题文件中,从而触发了一系列重定向到恶意域的操作。

Sucuri的Luke Leal 在一篇博客中解释了他的发现,他说对wp_options表中定义的home和siteurl的更改“可能是恶意行为的第一个危险信号之一”。

随后交付的第二个恶意JavaScript有效载荷使攻击者有了一个桥头堡,可以将其他恶意软件(例如PHP后门和黑客工具)注入其他主题文件中,以保持对受感染网站的持久访问。

如果 研究人员说,checkone()函数验证站点访问者是否具有“ logged_in” cookie并从/ wp-admin URL中请求有效负载,然后使用JavaScript函数location.replace将访问者重定向到恶意重定向URL。存储在ijmjg变量中。

显然,通过ijmjg变量和String.fromCharCode()函数,恶意重定向URL被隐藏在UTF-16代码单元中,而不是ASCII字符中。利用/ * someuselesstext * /格式的攻击者添加了注释作为逃避技术,以进一步掩盖混淆。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

回到顶部

QQ群962782975