假浏览器更新活动以黑客使用的欺骗策略而闻名,以诱骗用户下载恶意软件。这些攻击通常涉及向网站注入恶意代码,然后显示一个弹出消息,敦促用户更新他们的网络浏览器。点击提供的链接通常会导致下载恶意软件,如远程访问木马或信息诈骗。
这类恶意软件最臭名昭著的例子之一是SocGholish。然而,我们的研究团队一直在追踪一个自2024年4月下旬以来活跃的新活动。这场运动遵循了类似的模式,但包含了一些特别令人担忧的独特特征。
恶意软件的工作原理
这种新的假浏览器更新活动的感染过程始于向易受攻击的网站注入恶意代码。一旦网站被入侵,访客会在网页加载后的几秒钟内看到以下误导性的弹出信息:
这条信息用蹩脚的英语写着:警告利用Chrome检测。更新Chrome浏览器,包括一个大的蓝色更新按钮。该弹出窗口甚至会显示给不使用Chrome浏览器的用户,突出了它的欺骗性(和业余)性质。
当用户单击Update按钮时,他们会被重定向到几个恶意url中的一个,这些恶意url旨在启动恶意软件下载。此活动涉及的网址包括:
-
hxxps: / / photoshop-adobe[] /下载/ dwnl.php购物
-
hxxps: / / brow-ser-update[] /下载/ dwnl.php
-
hxxps://tinyurl[.]com/uoiqwje3
恶意域名的创建日期表明,该活动最早可能在3月份分发:
-
brow-ser-update(。[top]创建于2024年5月3日。
-
photoshop-adobe(。商店——创建于2024年3月14日
虽然这些url不再可用,但它们以前提供恶意下载,通常称为googlecrome -x86。m6从服务器185.196.9[.]
在撰写本文时,PublicWWW目前在341个网站上发现了这个虚假的浏览器更新弹出框。Sucuri的SiteCheck远程网站扫描器将此威胁检测为malware.fake_update.3。
技术细节
恶意代码注入到受感染的网站,旨在使用以下合法的WordPress插件执行弹出消息:Hustle - Email Marketing, Lead Generation, optin, Popups这个插件通常用于创建弹出窗口和选择表单,使其成为攻击者利用的理想工具。
在页面源代码中,恶意注入如下所示:
这些代码通常在位于wp-content/uploads目录下的JSON文件中找到,例如:
-
wp-content /上传/ 2024/04 /喧嚣弹出- 20240425 - 111136[编辑]-ffsf.json
-
wp-content /上传/ 2024/05 / import.json
注入的代码也可以在WordPress数据库的wp_hustle_modules_meta表中找到。
最初,我们怀疑Hustle插件本身存在漏洞。然而,进一步的调查显示,被入侵的网站正在运行最新版本的插件。对Web Archive历史数据的回顾表明,受影响的网站在4月底之前没有安装Hustle插件。这表明攻击者进入了WordPress管理界面,安装了插件,然后使用其“导入”功能上传恶意弹出代码。
这次活动凸显了黑客利用合法插件达到恶意目的的日益增长的趋势。通过这样做,它们可以逃避文件扫描器的检测,因为大多数插件将其数据存储在WordPress数据库中。
在一个典型的WordPress网站上,添加一个插件很容易被忽视,这个网站通常使用15个或更多的插件。这种策略在其他著名的WordPress感染活动中也有使用,比如使用WPCode插件的VexTrio DNS TXT重定向,以及利用Simple Custom CSS和JS插件的Sign1恶意软件。
保护您的网站免受假冒chrome浏览器更新
作为网站所有者,采取积极主动的安全措施来降低威胁的风险是很重要的:
-
在你的网站上采用“使用它或失去它”的政策。这意味着要定期检查所有插件,并删除任何您不认识或不使用的组件。
-
为所有帐户生成强大且唯一的密码,包括管理员、FTP、数据库和主机。
-
定期监控您的网站,检查可疑活动或意外的网站管理员用户。
-
考虑使用2FA并限制对WordPress管理和敏感页面的访问,只允许受信任的IP地址访问。
-
始终保持你的网站软件补丁和最新的,包括你的核心CMS,插件,主题,或任何其他可扩展的组件。
-
使用web应用程序防火墙有助于防止漏洞利用、恶意代码和黑客企图。
原文始发于微信公众号(HackSee):数百个网站的目标假谷歌Chrome浏览器更新弹出窗口
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论