|
不寻常的Wordpress攻击窃取登录凭证 灰鸽子下载,灰鸽子远程控制软件
Wordpress,互联网最喜欢的内容管理系统,是一种常见的目标罪犯无辜用户重定向到恶意软件下载网站。
但是一种新的恶意软件窃取用户登录凭证相反,而其余的用户体验不变。
“这是一个有趣的攻击,我们还没有见过这个,”迈克尔·萨顿说安全研究副总裁在圣何塞市云安全厂商Zscaler,Inc .)最近发表了一份报告关于恶意软件。
广告
“Wordpress是一个很常见的攻击目标,”他说。“这是广泛使用,但往往是非常不安全的,而且没有很好的维护。通常,他们注入一些代码来将浏览器重定向到机器上下载恶意软件参与一些僵尸网络。”
目前开源Wordpress软件占三分之二的内容管理系统市场,根据W3Techs,权力四分之一的网站。
在这个新的攻击,Wordpress页面还提供不必要的Javascript,而是重定向用户到另一个网站,它窃取他们的凭证,他们试图登录。
“这是一个难以检测的,他说, 灰鸽子使用教程, 远程控制软件。
网站尝试下载恶意软件正试图安装用户的机器上的东西。
”,但如果我的凭证是妥协,我没有知识,”萨顿说。
迄今为止,Zscaler确定18破坏网站,每个证书发送到相同的目的地域——“conyouse.com”。
萨顿说,如果域名更改Zscaler仍然可以保护其客户通过寻找特定的代码,变量和行为。
Zscaler发表了请求头和混淆过的Javascript代码,以及已知的受感染的网站列表。
直到其他安全厂商开始对这种行为进行监测,并且,没有太多,用户能做的来保护他们的登录信息被盗,但他们可以最小化潜在的损害。
“永远不要使用相同的凭证在两个不同的网站,”萨顿说。“现在有一些伟大的密码管理工具,很容易有不同hard-to-guess密码在每一个网站,你用。”
他建议网络犯罪的原因是偷登录凭证没有太多能够进入这些特定用户帐户的个人网站,但试图重用相同的凭证,如电子邮件或社交网站。
”,因为人们通常重用凭证,他们可能有成功,”他说。
同时,组织运行Wordpress站点的代码可以检查他们的网站,看看凭证盗窃发生。
他还敦促网站管理员保持所有的插件,主题和Wordpress安装补丁和更新。
他说,Zscaler只能看到可见的网页,而且没有访问网站的内部工作,所以他不知道如何恶意软件进入了网站在第一时间。
“没有漏洞的短缺,”他说。
但是他们可以看到所有受感染的网站运行Wordpress 4.1.5或者Wordpress 4.2.2。后者是最新版本的软件。 |
|