威胁行为者正在欺骗 Cloudflare DDoS 机器人检查,以试图在属于某些先前受感染的 WordPress 网站访问者的系统上放置远程访问木马 (RAT)。
Sucuri 的研究人员最近在调查 针对 WordPress 的 JavaScript 注入攻击激增 网站。 他们观察到攻击者向 WordPress 网站注入了一个脚本,该脚本触发了一个虚假提示,声称该网站验证了网站访问者是人类还是 DDoS 机器人。
许多 Web 应用程序防火墙 (WAF) 和内容分发网络服务通常会提供此类警报,作为其 DDoS 保护服务的一部分。 Sucuri 在 WordPress 网站上观察到这个新的 JavaScript 触发了虚假的 Cloudflare DDoS 保护弹出窗口。
点击虚假提示访问该网站的用户最终会在他们的系统上下载一个恶意的 .iso 文件。 然后他们收到一条新消息,要求他们打开文件,这样他们就可以收到访问网站的验证码。 “由于这些类型的浏览器检查在网络上如此普遍,许多用户在单击此提示访问他们试图访问的网站之前不会三思而后行,”Sucuri 写道。 “大多数用户没有意识到的是,这个文件实际上是一个远程访问木马,目前已被 13 家安全供应商标记为这篇文章。”
危险老鼠
Sucuri 将远程访问特洛伊木马识别为 NetSupport RAT,这是一种恶意软件工具,勒索软件攻击者以前曾使用该工具在系统上传播勒索软件之前对其进行足迹。 RAT 还被用来丢弃 Racoon Stealer,这是一个著名的信息窃取者,在今年早些时候曾短暂地从视线中消失。 重新回到威胁领域 在六月。 Racoon Stealer 于 2019 年浮出水面,是 2021 年最多产的信息窃取者之一。威胁参与者以多种方式分发它,包括恶意软件即服务模型以及将其植入销售盗版软件的网站上。 借助虚假的 Cloudflare DDoS 保护提示,威胁参与者现在有了一种分发恶意软件的新方法。
“威胁行为者,尤其是在网络钓鱼时,会使用任何看起来合法的东西来欺骗用户,”Netenrich 的主要威胁猎手 John Bambenek 说。 他说,随着人们习惯了像 Captcha 这样的机制来检测和阻止机器人,威胁参与者使用这些相同的机制来试图欺骗用户是有意义的。 “这不仅可以用来让人们安装恶意软件,还可以用于‘凭据检查’,以窃取主要云服务(例如)谷歌、微软和 Facebook 的凭据,”Bambenek 说。
他指出,最终,网站运营商需要一种方法来区分真实用户和合成用户或机器人。 但是,Bambenek 补充说,检测机器人的工具通常越有效,用户就越难解码。
nVisium 的高级网络安全研究员 Charles Conley 表示,使用 Sucuri 观察到的那种内容欺骗来提供 RAT 并不是特别新鲜。 网络犯罪分子经常欺骗 Microsoft、Zoom 和 DocuSign 等公司的与业务相关的应用程序和服务,以传播恶意软件并诱骗用户执行各种不安全的软件和操作。
但是,对于基于浏览器的欺骗攻击,Chrome 等浏览器的默认设置隐藏了完整的 URL,或者 Windows 等操作系统隐藏了文件扩展名,这使得即使是有辨别力的个人也更难分辨他们正在下载什么以及来自哪里,康利说。
