黑客使用竊取的憑證感染 WordPress 網(wǎng)站，并向其發(fā)送虛假插件，通過虛假的瀏覽器更新提示向最終用戶發(fā)送惡意軟件和信息竊取程序。

該惡意活動基于ClickFix假瀏覽器更新惡意軟件的新變種，自 2024 年 6 月以來已使用假 WordPress 插件感染了超過 6,000 個網(wǎng)站。

總體而言，據(jù) GoDaddy 安全團(tuán)隊稱，自 2023 年 8 月以來，ClickFix 已感染了超過 25,000 個網(wǎng)站。

假冒 WordPress 插件竊取用戶憑證

沒有已知的漏洞被利用來傳遞虛假插件；黑客似乎只是使用了被盜的憑證。

GoDaddy公告稱： “日志分析顯示，安裝假冒 WordPress 插件并未直接利用 WordPress 生態(tài)系統(tǒng)中任何已知漏洞。相反，攻擊者擁有每個受感染網(wǎng)站的合法 WordPress 管理員憑證?！?/p>

這些插件“旨在對網(wǎng)站管理員無害”，但網(wǎng)站訪問者可能會看到虛假的瀏覽器更新和其他惡意提示。

這些插件會注入惡意 JavaScript，其中包含“一種已知的偽造瀏覽器更新惡意軟件變種，該惡意軟件使用區(qū)塊鏈和智能合約來獲取惡意負(fù)載”，即 EtherHiding。

在瀏覽器中執(zhí)行時，JavaScript 會發(fā)送偽造的瀏覽器更新通知，引導(dǎo)用戶在其計算機(jī)上安裝惡意軟件，通常是遠(yuǎn)程訪問木馬 (RAT) 或Vidar Stealer 和 Lumma Stealer 等信息竊取程序。

假冒 WordPress 插件：詳細(xì)信息和 IoC

這些假插件使用通用名稱，例如“高級用戶管理器”或“快速緩存清理器”，其目錄僅包含 3 個小文件：index.php、.DS_Store和-script.js文件，其變體通?；诓寮Q。

偽造的 WordPress 插件文件

這些命名方案導(dǎo)致了其他惡意插件的發(fā)現(xiàn)：

插件名稱.	注入腳本
管理欄定制器	管理欄定制器/abc-script.js
高級用戶管理器	高級用戶管理器/aum-script.js
高級小部件管理	高級小部件管理/awm-script.js
內(nèi)容攔截器	內(nèi)容攔截器/cb-script.js
自定義 CSS 注入器	自定義 CSS 注入器/cci-script.js
自定義頁腳生成器	自定義頁腳生成器/cfg-script.js
自定義登錄樣式器	自定義登錄樣式器/cls-script.js
動態(tài)側(cè)邊欄管理器	動態(tài)側(cè)邊欄管理器/dsm-script.js
簡易主題管理器	簡易主題管理器/script.js
表單生成器專業(yè)版	form-b??uilder-pro/fbp-script.js
快速緩存清理器	快速緩存清理器/qcc-script.js
響應(yīng)式菜單生成器	響應(yīng)式菜單生成器/rmb-script.js
SEO優(yōu)化專家	seo-optimizer-pro/sop-script.js
簡單的帖子增強(qiáng)器	簡單后增強(qiáng)器/spe-script.js
社交媒體集成商	社交媒體集成器/smi-script.js

公告稱：“底層插件代碼故意保持簡單，以避免引發(fā)危險信號?！?wp_enqueue_scripts操作的鉤子 ?被操縱，將插件目錄中的有害腳本加載到 WordPress 頁面中。

.DS_Store 是桌面服務(wù)存儲 (Desktop Services Store) 的縮寫，是macOS Finder 應(yīng)用程序創(chuàng)建的用于存儲文件夾首選項的隱藏文件。

偽造的插件 .DS_Store 文件不包含任何信息，但可以用作入侵指標(biāo) (IoC)：

MD5： ?194577a7e20bdcc7afbb718f502c134c
SHA 256：d65165279105ca6773180500688df4bdc69a2c7b771752f0a46ef120b7fd8ec3

腳本文件名包含相同的內(nèi)容，可以通過其哈希值識別：

MD5： ?602e1f42d73cadcd73338ffbc553d5a2
SHA 256： ?a4ad384663963d335a27fa088178a17613a7b597f2db8152ea3d809c8b9781a0

關(guān)于 WordPress 憑證被盜的猜測

GoDaddy 的建議指出，有效的 WordPress 管理員憑據(jù)的存在表明黑客使用了獲取憑據(jù)的方法，例如暴力攻擊、網(wǎng)絡(luò)釣魚活動，甚至是網(wǎng)站管理員計算機(jī)上的惡意軟件或信息竊取程序感染。

該公告并未提及，但據(jù)推測多因素身份驗證以及其他訪問控制（如設(shè)備 ID、健康和位置）將提供一些保護(hù)，防止被盜憑證被濫用。