根据Wordfence的Defiant威胁情报团队,正在进行的恶意广告活动针对即将到来的页面和维护模式WordPress插件中的未经身份验证的存储跨站脚本(XSS)漏洞。
现在修补的漏洞允许未经身份验证的攻击者将java script或HTML代码注入运行插件版本1.7.8或更低版本的WordPress网站的博客前端。
Wordfence检测到的恶意广告活动导致受损的WordPress网站“显示不需要的弹出广告,并将访问者重定向到恶意目的地,包括技术支持诈骗,恶意Android APK和粗略的制药广告。”
恶意重定向和弹出广告
用于感染站点的java script有效负载将从其他第三方域加载其他代码,以构建为受感染网站的访问者执行的完整恶意负载。
在每次有效负载执行时,目标将自动重定向到第二个域,该域通过检查浏览器的用户代理字符串,基于访问者使用的设备类型将它们发送到第三个目标URL,还使用cookie来跟踪返回的受害者。
“最终的目的地网站的范围和意图各不相同。有些网站用户会根据药品和色情内容的典型非法广告重定向,而其他网站会尝试针对用户的浏览器进行直接的恶意活动,”Wordfence发现。
攻击者还利用弹出广告作为滥用其目标的替代方法,代码注入来自以前受到破坏的网站以及存储在受感染网站上的基于java script的脚本,这些脚本被用作注入广告的恶意广告活动的一部分。
通过webshell发起的XSS攻击
“一旦所有内容都被触发,受害者的浏览器将在下次点击或点击页面时在新标签页中打开所选地址,”Wordfence补充道。
操作此活动的威胁参与者发起的XSS注入攻击源自连接到流行的托管提供商的IP地址,攻击者利用具有有限功能的混淆的PHP shell通过任意命令通过代理发起XSS攻击。
有关这些攻击的内部工作原理的更多详细信息,以及包括恶意软件哈希,域和攻击IP地址在内的受损(IOC)指标,都是由恶意威胁情报团队在恶意广告活动报告结束时提供的。
以前的广告系列定位到WordPress网站
这不是一个新颖的活动,类似的活动利用社交战中的漏洞 ?,黄铅笔视觉主题定制器,Easy WP SMTP和 ?Yuzo相关帖子 ?插件安装在成千上万的WordPress网站上。
在这些攻击的情况下,漏洞利用程序也使用托管在攻击者控制的域上的恶意脚本,同一个坏人在所有四个活动后面。
在2018年12月,一个由超过20,000个WordPress网站组成的大型僵尸网络被用来攻击和感染其他一些网站,这些网站一旦被入侵也被添加到僵尸网络中。
其运营商使用僵尸网络来强制其他WordPress站点的登录,超过500万次身份验证强力尝试被阻止,超过14,000个代理服务器用于匿名攻击期间检测到的C2命令。