一群黑客一直在使用虚假的ddos保护页面来诱骗不知情的用户安装恶意软件,根据GoDaddy美国拥有网络安全公司Sucuri。
黑客正在劫持用WordPress来显示虚假的ddos保护页面。访问这些网站的用户会看到一个弹出窗口,它伪装成Cloudflare的ddos保护服务。但是一旦他们点击提示,弹出窗口就会将恶意ISO文件下载到他们的PC上。
攻击利用了分布式拒绝服务-保护页面有时会出现在你试图访问的网站上,以阻止机器人和其他恶意网络流量轰炸网站并使服务瘫痪。访问者需要通过验证码测试来证明他们是人类。
在这种情况下,黑客通过在被劫持的WordPress站点中添加一行JavaScript代码来提供虚假的ddos保护页面。Sucuri安全研究员本·马丁说:“由于这种类型的浏览器检查在网络上很常见,许多用户在点击这个提示访问他们想要访问的网站时不会三思。写了(在新窗口打开)在一篇博客文章中。
具体来说,虚假的ddos保护页面将下载一个名为“security_install”的文件。到受害者的电脑。然后WordPress站点将提供一个额外的弹出窗口,要求用户安装ISO文件以获得验证码。
“大多数用户没有意识到这个文件实际上是一个远程访问木马,目前标记为13个安全供应商(在新窗口打开)在写这篇文章的时候,”马丁说。这意味着该木马可以为黑客远程控制受害者的计算机铺平道路。
根据反病毒提供商Malwarebytes的说法,该ISO文件实际上是一种名为Netsupport RAT(远程访问木马)的恶意软件,它已被用于ransomware攻击。同样的恶意程序也可以安装RacoonStealer(在新窗口打开)该软件能够从受感染的电脑中窃取密码和其他用户凭证。
这一事件提醒人们,当你的电脑浏览器下载神秘文件时,即使是从看似合法的网络安全服务下载,也要保持警惕。马丁补充说:“恶意行为者会采取一切可行的途径侵入电脑,并将恶意软件推送给毫无戒心的受害者。”