不断变换作案手法的敲诈者病毒木马令用户越来越难以察觉。近日,腾讯电脑管家安全感知系统发现,备受开发者青睐的网站搭建平台 WordPress 被大范围攻陷,致使用户在 Chrome 或 Chrome 内核浏览器中打开部分使用 WordPress 平台搭建的网站时出现乱码,并提示需要下载字体更新程序并执行后才能正常访问。一旦用户点击下载更新,植入其中的新型敲诈者病毒 Spora 便会自动运行,将所有用户文件加密。目前,腾讯电脑管家已经可以全面拦截该病毒木马。
腾讯电脑管家拦截 Spora 敲诈者
腾讯电脑管家安全专家在深入分析了被攻陷网站之后,还原了此次病毒作案的始末:此次攻击系臭名昭著的“EITest”恶意软件活动所为,已发现不法分子攻陷了 WordPress 框架的网站之后,在该网站正常的页面代码末尾添加 JavaScript 代码,致使该页面在用户访问时出现乱码,然后提示下载字体更新程序并执行后才能正常访问。下面可以看到这个代码在源代码中的样子。
网页原代码结尾处插入 JS 代码
当访问者访问此页面时,脚本将干扰页面的文本,使其出现乱码:
网页干扰代码
随后弹出一个警告窗口,指出该页面因为缺少“HoeflerText”字体无法正确显示,同时提示点击 Update 按钮从而下载该 Chrome 字体包。
网页字体更新弹窗代码
网页字体更新弹窗
当用户单击 Update 按钮时,弹出窗口会自动下载名为 Chrome Font v1.55.exe 的文件并将其保存到默认下载文件夹,然后跳转到一个说明页面,提示如何找到和运行下载的字体更新程序。
网页字体更新运行提示
Chrome Font v1.55.exe 实际上是 Spora 系列敲诈者病毒。用户一旦运行该病毒,电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时,电脑将显示敲诈页面,告知中招者登录 Spora 支付网站以确定赎金金额或付款。
Spora 敲诈者提示弹窗
目前已知存在 WordPress 漏洞并且遭到攻击的网站有:
腾讯安全联合实验室分析发现这批使用 WordPress 搭建的网站均存在一些关键漏洞未及时进行修补。广大网站管理人员应随时关注 WordPress 官网安全公告,并及时升级到最新版本以免发生更多攻击事件。
受到攻击网站存在的漏洞
腾讯安全反病毒实验室专家马劲松提醒用户,攻击者将病毒程序伪装成 Chrome 的 Google 字体更新程序,从而诱骗人们运行它。由于用户身处攻击者造成的网页乱码“环境”中,很容易误以为真的是字体出现问题,进而下载运行准备好的“修复程序”,一旦用户双击并执行该程序,就会中招。这种攻击方式技术难度不算太高,但是借由网站字体更新很容易令用户降低防备。同时提醒大家,上网时如若遇到类似的情况,建议暂时停止访问该网站,并开启腾讯电脑管家,实时拦截木马。
如若转载,请注明出处:https://www.ozabc.com/jianzhan/376350.html