黑客通过恶意软件感染 Pale Moon 存档服务器

Pale Moon 网络浏览器团队今天宣布,他们的 Windows 档案服务器遭到破坏,黑客在 2017 年 12 月 27 日用恶意软件感染了 Pale Moon 27.6.2 及以下的所有存档安装程序。 攻击者使用脚本,将 Win32 / ClipBanker.DY Trojan 变种注入存储在服务器上的 .exe 文件,使得下载 Pale Moon 浏览器安装程序和自解压存档的用户感染恶意软件。Pale Moon 团队在 7 月 9 日发现了安全漏洞,并立即切断了与受影响服务器的所有连接,以阻止恶意软件进一步传播给其他用户。 受感染文件的时间戳显示,攻击者使用自动进程在本地感染这些文件,该进程向存储在受感染服务器上的每个可执行文件注入大约 3MB 的恶意 payload。 Pale Moon 的开发团队在漏洞分析中解释说,从未下载安装程序的用户“基本不会受到感染”。为了确保安全,用户可以通过列表逐步检查他们下载的安装程序是否被篡改,而那些下载受感染文件的用户应该“使用信誉良好的防病毒软件对系统进行全面扫描和清理,以清除此恶意软件。”   攻击中使用的恶意软件删除程序  感染过程   在恶意可执行文件启动后,将使用一个剪贴板软件感染受害者的计算机 –  ESET 检测其为 MSIL/Agent.B 的变体。之后,后台会创建一个在启动时执行剪贴板的任务,同时前台启动 Pale Moon 安装程序以分散受害者的注意力并隐藏的恶意活动。 正在创建的任务   虽然我们能够分析 Pale Moon 攻击者使用的恶意软件的行为,但因为我们无法启动它并获得有关其功能的更多信息,可能还带有恶意软件分析和VM 检测功能。     消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WordPress 插件漏洞被黑客用于恶意重定向和弹窗

黑客们目前使用版本过时的 WP Live Chat Support 插件来攻击 WordPress 网站。他们将访问者重定向到恶意站点,或者不断显示弹窗和伪造的订阅信息。 本月初,Bleeping Computer 报道说8.0.7以前的版本受到了存储型 XSS 漏洞影响,此漏洞无需授权就可使用。这使得黑客能够将恶意 JavaScript 脚本注入某个受影响网站的多个页面。 由于攻击成本低,并且潜在受害人数量众多。黑客很快便乘虚而入。 来自 ZScaler 的 ThreatLabZ 研究室的调查人员们发现,攻击者们多次利用漏洞注入恶意 JavaScript脚本,引起“恶意重定向,弹窗和虚假订阅消息”。这一方法被用于至少47家网站,并且这一数字仍在增长。 例如,被攻击网站的用户会收到一则以“权力的游戏”为主题的广告,与寻求身份认证的弹窗。   根据 ZScaler 提供的 WhoIs 记录,这个IP地址指向一个印度的专用服务器。 网络罪犯在不断地寻找新的漏洞报告,以研究如何攻击那些缺少防护的网站。管理员们应该在补丁更新之后尽快安装。 大部分的攻击者一直在寻找新的机会,并且WordPress 插件经常是被瞄准的目标之一,因其网站管理员在一般情况下不会及时打上最新的补丁。就在昨天,一篇针对 Convert Plus 插件漏洞的文章指出,攻击者可以在网站上建立一个拥有管理员权限的账号。 此举不难实现,并且一次成功的攻击所带来的回报值得黑客们一试。尽管是商业性产品,但据统计,  Convert Plus 的主动安装次数已经接近十万次。所以黑客把那些插件未升至最新版本的网站作为攻击的目标也不足为奇了。   消息来源:Bleepingcomputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接