HackerNews 编译，转载请注明出处： 黑客正在利用 WordPress 网站中的“mu-plugins”目录隐藏恶意代码，以维持远程访问权限，并将访客重定向至虚假网站。 mu-plugins（Must-Use 插件的简称）是指位于“wp-content/mu-plugins”目录中的插件，这些插件无需通过管理员后台显式启用即可自动运行。这也使得该目录成为部署恶意软件的理想位置。 “这种方法反映了令人担忧的趋势，因为 mu-plugins 不会在标准的 WordPress 插件界面中列出，这使得它们在常规安全检查中容易被忽略，”Sucuri 研究员 Puja Srivastava 在分析中表示。 在网站安全公司分析的事件中，发现该目录中存在三种不同的恶意 PHP 代码： “wp-content/mu-plugins/redirect.php”：将访客重定向至外部恶意网站。 “wp-content/mu-plugins/index.php”：提供类似网页后门的功能，允许攻击者通过从 GitHub 下载远程 PHP 脚本执行任意代码。 “wp-content/mu-plugins/custom-js-loader.php”：向受感染网站注入垃圾信息，可能用于推广骗局或操纵搜索引擎排名。该脚本通过替换网站上的所有图片为露骨内容，并劫持外部链接至恶意网站。 Sucuri 表示，“redirect.php”伪装成浏览器更新，诱骗受害者安装可以窃取数据或投放额外恶意软件的程序。 Srivastava 解释称：“该脚本包含一个功能，可以识别当前访客是否为机器人。这使得脚本能够排除搜索引擎爬虫，防止其检测到重定向行为。” 与此同时，攻击者继续利用受感染的 WordPress 网站作为跳板，通过伪装成 Google reCAPTCHA 或 Cloudflare CAPTCHA 验证的方式，诱骗访客在 Windows 电脑上运行恶意 PowerShell 命令——这是一种名为 ClickFix 的常见策略，并用于传播 Lumma Stealer 恶意软件。 受攻击的 WordPress 网站还被用于部署恶意 JavaScript，这些脚本可以将访客重定向至不受欢迎的第三方域名，或作为支付页面上的信息窃取工具，窃取用户输入的财务信息。 目前尚不清楚这些网站是如何被攻破的，但常见的原因包括易受攻击的插件或主题、泄露的管理员凭据以及服务器配置错误。 根据 Patchstack 的最新报告，自今年年初以来，攻击者频繁利用 WordPress 插件中的四个不同安全漏洞： CVE-2024-27956（CVSS 评分：9.9）：WordPress Automatic 插件（AI 内容生成和自动发布插件）中的未授权任意 SQL 执行漏洞。 CVE-2024-25600（CVSS 评分：10.0）：Bricks 主题中的未授权远程代码执行漏洞。 CVE-2024-8353（CVSS 评分：10.0）：GiveWP 插件中的未授权 PHP 对象注入至远程代码执行漏洞。 CVE-2024-4345（CVSS 评分：10.0）：Startklar Elementor Addons for WordPress 中的未授权任意文件上传漏洞。 为降低这些威胁带来的风险，WordPress 网站管理员应确保插件和主题保持最新版本，定期检查代码中的恶意软件，强制使用强密码，并部署网页应用防火墙以拦截恶意请求并防止代码注入。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为 CoffeeLoader 的新型复杂恶意软件，其主要功能是下载并执行第二阶段的有效载荷。 据 Zscaler ThreatLabz 表示，CoffeeLoader 在行为上与已知的 SmokeLoader 恶意软件加载器存在相似之处。Zscaler 威胁情报高级总监 Brett Stone-Gross 在本周发布的一份技术分析报告中指出：“该恶意软件的目的是在躲避端点安全产品检测的同时，下载并执行第二阶段的有效载荷。” 为了绕过安全解决方案，CoffeeLoader 采用了多种技术，包括利用 GPU 的专用打包器、调用栈伪造、睡眠混淆以及使用 Windows 纤程。 CoffeeLoader 最早于 2024 年 9 月出现，它利用域名生成算法（DGA）作为备用机制，以防主要的命令与控制（C2）通道无法访问。该恶意软件的核心是一个名为 Armoury 的打包器，它通过在系统 GPU 上执行代码来增加虚拟环境中的分析难度。Armoury 因其伪装成华硕开发的合法 Armoury Crate 工具而得名。 感染过程始于一个下载器，它尝试以提升的权限执行由 Armoury 打包的 DLL 载荷（“ArmouryAIOSDK.dll”或“ArmouryA.dll”），但在执行之前，如果下载器没有必要的权限，它会尝试绕过用户账户控制（UAC）。此外，下载器还会通过设置计划任务在主机上建立持久性，该任务配置为在用户登录时以最高权限运行，或者每 10 分钟运行一次。随后，执行一个加载器组件，进而加载主模块。 Stone-Gross 表示：“主模块采用了多种技术来躲避杀毒软件（AV）和端点检测与响应（EDR）的检测，包括调用栈伪造、睡眠混淆以及利用 Windows 纤程。”这些方法能够伪造调用栈以掩盖函数调用的来源，并在有效载荷处于睡眠状态时进行混淆，从而使其能够躲避安全软件的检测。 CoffeeLoader 的最终目标是通过 HTTPS 联系 C2 服务器，以获取下一阶段的恶意软件，包括注入并执行 Rhadamanthys 壳代码的命令。 Zscaler 表示，在源代码层面，CoffeeLoader 与 SmokeLoader 存在诸多相似之处，这表明它可能是后者的一个重大迭代版本，尤其是在去年执法部门打击并摧毁了 SmokeLoader 的基础设施之后。该公司指出：“SmokeLoader 和 CoffeeLoader 之间还存在显著的相似性，前者分发后者，但两者之间的确切关系尚不清楚。” 这一发现正值 Seqrite Labs 详细披露了一起网络钓鱼邮件活动，该活动启动了一个多阶段感染链，投放了一种名为 Snake Keylogger 的信息窃取恶意软件。此外，近期还出现了一系列针对参与加密货币交易的用户发起的活动，通过在 Reddit 帖子中宣传破解版的 TradingView，诱骗用户安装 Windows 和 macOS 系统上的 Lumma 和 Atomic 等窃取器。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为“RESURGE”的新型恶意软件，该软件被用于攻击Ivanti Connect Secure（ICS）设备中已修复的安全漏洞。 CISA指出，“RESURGE”包含“SPAWNCHIMERA”恶意软件变体的功能，例如能够在设备重启后存活，但它还包含独特的指令，改变了其行为模式。该恶意软件具备多种功能，包括作为根工具包（rootkit）、下载器（dropper）、后门（backdoor）、引导工具包（bootkit）、代理（proxy）和隧道工具（tunneler）的能力。 此次攻击利用的漏洞编号为CVE-2025-0282，这是一个堆栈缓冲区溢出漏洞，影响Ivanti Connect Secure、Policy Secure和ZTA网关，可能导致远程代码执行。受影响的版本包括： – Ivanti Connect Secure 22.7R2.5之前的版本 – Ivanti Policy Secure 22.7R1.2之前的版本 – Ivanti Neurons for ZTA网关22.7R2.3之前的版本 谷歌旗下的Mandiant公司指出，CVE-2025-0282已被用于传播名为“SPAWN”的恶意软件生态系统，包括多个组件，如SPAWNANT、SPAWNMOLE和SPAWNSNAIL。这些恶意软件被认为与中国相关的间谍组织UNC5337有关。 上个月，日本计算机应急响应小组（JPCERT/CC）发现，该漏洞被用于传播“SPAWNCHIMERA”，这是一个将上述多个模块整合为一体的单一恶意软件，同时增加了通过UNIX域套接字进行进程间通信的功能。值得注意的是，该变体还包含一个功能，用于修补CVE-2025-0282漏洞，以防止其他恶意行为者利用该漏洞进行攻击。 CISA表示，“RESURGE”（文件名为“libdsupgrade.so”）是“SPAWNCHIMERA”的改进版本，支持三种新指令： 1. 将自身插入“ld.so.preload”，设置网络外壳（web shell），操纵完整性检查和修改文件。 2. 启用网络外壳进行凭证收集、账户创建、密码重置和权限提升。 3. 将网络外壳复制到Ivanti运行的启动磁盘，并操纵运行中的核心启动镜像。 此外，CISA还从一个未指明的关键基础设施实体的ICS设备中发现了另外两个相关文件：一个“SPAWNSLOTH”变体（文件名为“liblogblock.so”），包含在“RESURGE”中；以及一个定制的64位Linux ELF二进制文件（文件名为“dsmain”）。 CISA指出，“SPAWNSLOTH”变体篡改了Ivanti设备的日志，而第三个文件是一个包含开源shell脚本和开源工具BusyBox部分功能的嵌入式二进制文件。该开源shell脚本能够从受损的内核镜像中提取未压缩的内核映像（vmlinux）。 值得注意的是，CVE-2025-0282还被另一个与中国相关的威胁组织“Silk Typhoon”（原名Hafnium）利用为零日漏洞，微软在本月早些时候披露了这一情况。 最新发现表明，恶意软件背后的攻击者正在积极改进其攻击手段，因此，各机构必须将Ivanti设备更新到最新版本。此外，建议采取进一步缓解措施，包括重置特权和非特权账户的凭证、轮换所有域用户和本地账户的密码、审查访问策略以暂时撤销受影响设备的权限、重置相关账户凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表上发现了两个恶意软件包，它们旨在感染本地安装的另一个软件包，这凸显了针对开源生态系统的软件供应链攻击的持续演变。 这些软件包分别是 ethers-provider2 和 ethers-providerz。前者自 2025 年 3 月 15 日发布以来已被下载 73 次。第二个软件包可能被恶意软件作者自己移除，因此没有吸引任何下载。 “它们是简单的下载程序，恶意载荷隐藏得非常巧妙，”ReversingLabs 研究员 Lucija Valentić 在一份与《黑客新闻》分享的报告中表示。 “有趣的部分在于它们的第二阶段，会‘修补’本地安装的合法 npm 软件包 ethers，用包含恶意载荷的新文件替换。该修补后的文件最终会提供反向 Shell。” 这一发展标志着威胁者战术的新升级，因为即使卸载了恶意软件包，也不会清除受感染机器上的恶意功能，因为更改位于流行的库中。此外，如果用户在 ethers-provider2 仍存在于系统中时卸载了 ethers 软件包，当稍后再次安装该软件包时，存在重新感染的风险。 ReversingLabs 对 ethers-provider2 的分析显示，它不过是广泛使用的 ssh2 npm 软件包的特洛伊版本，在 install.js 中包含恶意载荷，以从远程服务器（“5.199.166[.]1:31337/install”）检索第二阶段恶意软件，将其写入临时文件并运行。 执行后，临时文件会立即从系统中删除，试图避免留下任何痕迹。第二阶段载荷则开始无限循环，检查 npm 软件包 ethers 是否本地安装。 如果该软件包已经存在或新安装，它会通过替换名为 “provider-jsonrpc.js” 的文件之一的伪造版本采取行动，该版本包含额外代码，从同一服务器获取并执行第三阶段。新下载的载荷作为反向 Shell，通过 SSH 连接到威胁者的服务器。 “这意味着，使用此客户端建立的连接在从服务器收到自定义消息后会变成反向 Shell，”Valentić 表示。“即使将软件包 ethers-provider2 从受感染的系统中移除，在某些情况下客户端仍会被使用，为攻击者提供一定程度的持久性。” 在此阶段值得注意的是，npm 注册表上的官方 ethers 软件包并未被破坏，因为恶意修改是在安装后在本地进行的。 第二个软件包 ethers-providerz 也表现出类似的行为，试图修改本地安装的 npm 软件包 “@ethersproject/providers” 相关的文件。该库针对的确切 npm 软件包未知，但源代码引用表明可能是 loader.js。 这些发现揭示了威胁者在开发者系统中提供和持久化恶意软件的新方式，这使得在下载和使用之前仔细审查来自开源存储库的软件包变得至关重要。 “尽管下载量低，但这些软件包功能强大且恶意，”Valentić 表示。“如果它们的使命成功，它们将破坏本地安装的软件包 ethers，即使该软件包被移除，也能在受感染的系统上保持持久性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正警示一项Android恶意软件活动，该活动利用微软的.NET多平台应用UI（.NET MAUI）框架，制作假冒银行和社交媒体应用，目标是印度和说中文的用户。 “这些威胁伪装成合法应用，针对用户窃取敏感信息，”McAfee Labs研究员Dexter Shin表示。 .NET MAUI是微软的跨平台桌面和移动应用框架，使用C#和XAML创建原生应用。它是Xamarin的进化版，具备通过单个项目创建多平台应用的能力，并在必要时加入特定平台的源代码。 值得注意的是，Xamarin的官方支持已于2024年5月1日结束，科技巨头敦促开发者迁移到.NET MAUI。 过去曾检测到使用Xamarin实现的Android恶意软件，而最新发展表明，威胁行为者正在通过使用.NET MAUI开发新恶意软件，不断调整和改进其战术。 “这些应用的核心功能完全用C#编写，并以二进制大对象形式存储，”Shin表示。“这意味着与传统Android应用不同，其功能不存在于DEX文件或原生库中。” 这为威胁行为者带来了新优势，因为.NET MAUI充当打包器，使恶意软件能够逃避检测，并在受害设备上长期存在。 基于.NET MAUI的Android应用，统称为FakeApp，及其关联的软件包名称如下： X (pkPrIg.cljOBO) 迷城 (pCDhCg.cEOngl) X (pdhe3s.cXbDXZ) X (ppl74T.cgDdFK) Cupid (pommNC.csTgAT) X (pINUNU.cbb8AK) 私密相册 (pBOnCi.cUVNXz) X•GDN (pgkhe9.ckJo4P) 迷城 (pCDhCg.cEOngl) 小宇宙 (p9Z2Ej.cplkQv) X (pDxAtR.c9C6j7) 迷城 (pg92Li.cdbrQ7) 依恋 (pZQA70.cFzO30) 慢夜 (pAQPSN.CcF9N3) indus credit card (indus.credit.card) Indusind Card (com.rewardz.card) 没有证据表明这些应用已分发至Google Play。相反，主要传播方式是诱骗用户点击通过消息应用发送的虚假链接，这些链接将毫无戒心的接收者重定向至非官方应用商店。 在McAfee强调的一个例子中，该应用伪装成印度金融机构，收集用户敏感信息，包括全名、手机号码、电子邮件地址、出生日期、住宅地址、信用卡号码和政府颁发的身份证件号码。 另一款应用则模仿社交媒体网站X，从受害设备窃取联系人、短信和照片。该应用主要通过第三方网站或替代应用商店，针对说中文的用户。 除了使用加密套接字通信将收集的数据传输至命令与控制（C2）服务器外，恶意软件被还观察到在AndroidManifest.xml文件中添加多个无意义权限（例如“android.permission.LhSSzIw6q”），试图破坏分析工具。 为保持不被检测，还使用了一种称为多级动态加载的技术，利用XOR加密的加载程序启动AES加密的有效载荷，后者又加载设计用于执行恶意软件的.NET MAUI程序集。 “主要有效载荷最终隐藏在C#代码中，”Shin表示。“当用户与应用交互，例如按下按钮时，恶意软件会悄悄窃取他们的数据并发送至C2服务器。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年1月底，安全研究人员首次发现了一种名为SvcStealer 2025的恶意软件。该恶意软件通过鱼叉式网络钓鱼（Spear Phishing）邮件附件传播，专门窃取受感染系统中的大量个人和财务信息，包括设备数据、已安装的软件、用户凭据、加密货币钱包和浏览器数据。 SvcStealer采取系统化的方式进行数据盗取，逐步从各种应用程序中提取信息，然后将其压缩并通过命令与控制（C2）服务器外传。 在成功收集数据后，SvcStealer还具备下载额外恶意软件载荷的能力，从而将其威胁能力从数据窃取扩展到进一步的恶意活动。 SEQRITE的研究人员在常规威胁狩猎操作中识别出了SvcStealer。他们注意到该恶意软件使用Microsoft Visual C++编写，同时具备逃避检测的能力。通过终止监控进程并删除活动痕迹，SvcStealer能够绕过安全工具的检测。 感染系统后，SvcStealer会通过算术运算，从受害者的卷序列号中生成一个独特的11字节字母数字值。 SvcStealer基于卷序列号生成文件夹名称的代码（来源：SEQRITE） SvcStealer展现了其高度复杂的数据外传设计。它在收集到敏感信息后，将数据存储在**ProgramData**目录下，以生成的唯一文件夹名称命名。 它的目标包括： – 多个浏览器（Chrome、Edge、Brave）中的加密货币钱包 – 通信平台（Telegram、Discord）中的数据 – 各类浏览器中的用户凭据 – 系统截图和运行进程信息 SvcStealer收集信息后的文件夹结构（来源：SEQRITE） 随后，SvcStealer会将收集到的数据压缩为ZIP文件，并通过端口80与C2服务器（IP地址：185.81.68.156 或 176.113.115.149）建立连接。 压缩后的信息文件示意图（来源：SEQRITE） 它使用HTTP POST请求，并采用`Content-Type: multipart/form-data`的方式，将被窃取的数据伪装成普通的网络流量进行传输。 下载其他恶意软件家族的示意图（来源：SEQRITE） 为了维持持久性，SvcStealer会持续向其C2服务器发送信号，等待进一步的命令。这些命令可能包括下载额外的恶意软件载荷，进一步扩大感染范围或实施其他恶意活动。 安全专家建议用户对可疑邮件附件保持高度警惕，并采用高级终端保护解决方案来防御此类新兴威胁。定期更新安全软件和系统补丁、加强员工的网络安全意识培训，也是减少攻击风险的有效方式。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lookout 研究人员发现，一款名为 KoSpy 的新型 Android 间谍软件与朝鲜威胁组织 APT37（又名 ScarCruft）有关，该组织已通过至少五个恶意应用渗透到 Google Play 和第三方应用商店 APKPure。 此次间谍软件活动主要针对韩语和英语用户，伪装成文件管理器、安全工具和软件更新程序。恶意应用包括 휴대폰 관리자（Phone Manager）、File Manager（com.file.exploer）、스마트 관리자（Smart Manager）、카카오 보안（Kakao Security）和 Software Update Utility。 这些恶意应用在设备上运行时，会在后台加载 KoSpy 间谍软件，收集短信、通话记录、实时 GPS 位置、文件、音频和视频等敏感信息，并通过加密的 Firebase Firestore 数据库传输数据。每个应用使用独立的 Firebase 项目和命令控制（C2）服务器，数据在传输前使用硬编码的 AES 密钥进行加密。 尽管这些恶意应用已被从 Google Play 和 APKPure 移除，但用户仍需手动卸载它们，并使用安全工具扫描设备以彻底清除感染痕迹。在严重情况下，建议进行工厂重置。谷歌表示，所有被识别的 KoSpy 应用已从 Google Play 移除，相关 Firebase 项目也已关闭。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦调查局警告称，假冒的在线文档转换器被用于窃取个人信息，在最坏的情况下，还会在受害者的设备上部署勒索软件。 上周，联邦调查局丹佛野外办公室在接到关于这些工具的报告不断增加后发出了警告。 “联邦调查局丹佛野外办公室警告说，特工们越来越多地看到一种涉及免费在线文档转换工具的骗局，我们希望鼓励受害者报告这种骗局的实例，”警告中写道。 “在这种情况下，犯罪分子使用免费的在线文档转换工具将恶意软件加载到受害者的计算机上，导致勒索软件等事件。” 联邦调查局表示，网络犯罪分子正在创建推广免费文档转换、下载工具或文件合并工具的网站。 “为了实施这一计划，全球的网络犯罪分子正在使用任何类型的免费文档转换器或下载器工具。这可能是一个声称将一种文件类型转换为另一种文件类型的网站，例如将.doc文件转换为.pdf文件，”联邦调查局继续说道。 “它也可能声称合并文件，例如将多个.jpg文件合并成一个.pdf文件。嫌疑程序可能声称是一个MP3或MP4下载工具。” 虽然这些在线工具按宣传工作，但联邦调查局表示，生成的文件可能还包含隐藏的恶意软件，可用于获取受感染设备的远程访问权限。 联邦调查局还表示，上传的文档也可能被刮取敏感信息，如姓名、社会安全号码、加密货币种子、密码短语、钱包地址、电子邮件地址、密码和银行信息。 联邦调查局丹佛野外办公室告诉BleepingComputer，人们正在向IC3.gov报告这些骗局，过去三周内，丹佛都会区的一个公共部门实体报告了这一骗局。 “骗子试图模仿合法的URL——所以只改一个字母，或者用‘INC’代替‘CO’，”联邦调查局丹佛公共事务办公室的维姬·米戈亚告诉BleepingComputer。 “过去，用户会在搜索引擎中输入‘免费在线文件转换器’，他们很容易受到攻击，因为结果所使用的算法现在经常包括付费结果，这些结果可能是骗局。” 虽然联邦调查局告诉BleepingComputer，他们不能分享任何进一步的技术细节，因为这会让骗子知道什么是有效的，但威胁行为者已被知利用这些工具部署恶意软件。 有人质疑这些免费的文档转换器是否会导致恶意软件和勒索软件攻击，答案是肯定的。 上周，网络安全研究员威尔·托马斯分享了一些声称是在线文档转换器的网站，如docu-flex[.]com和pdfixers[.]com。 虽然这些网站已不再可用，但它们分发了名为Pdfixers.exe [VirusTotal]和DocuFlex.exe [VirusTotal]的Windows可执行文件，这两个文件都被检测为恶意软件。 一位以追踪Gootloader感染而闻名的网络安全研究员在11月报告说，有一个谷歌广告活动推广假冒的文件转换器网站。这些网站假装转换你的文件，但实际上会让你下载Gootloader恶意软件。 “访问这个WordPress网站（惊喜！），我发现了一个表单，用于上传PDF以将其转换为.zip文件中的.docx文件，”研究员解释道。 “但在通过某些检查后——来自英语国家，并且在过去的24小时内在同一个C类子网上没有访问过——用户收到的是.zip文件中的.js文件，而不是真正的.docx文件。” 这个JavaScript文件是Gootloader，一种以下载额外恶意软件而闻名的恶意软件加载器，如银行木马、信息窃取程序、恶意软件下载器和后利用工具，如Cobalt Strike信标。 利用这些额外的有效载荷，威胁行为者侵入公司网络，并横向扩展到其他计算机。像这样的攻击过去已经导致了全面的勒索软件攻击，如REvil和BlackSuit的攻击。 虽然并非所有文件转换器都是恶意软件，但在使用前进行研究并在下载任何程序前查看评论是必要的。 如果一个网站相对不知名，最好完全避免使用它。 如果你使用在线文件转换器或下载器，一定要分析网站生成的任何文件，因为如果它们是可执行文件或JavaScript文件，它们几乎肯定是恶意的。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者将恶意Word文件嵌入PDF文件中，以规避传统安全扫描。这种被称为“PDF中的MalDoc”的攻击方式，最早可追溯至2023年7月，它使受害者在打开看似普通的文档时触发宏，可能导致系统被攻陷，同时避开常见安全工具的检测。 据JPCERT/CC称，该攻击利用了技术漏洞，使文件在保持PDF签名的同时仍能作为Word文档运行。尽管这些混合文件具有PDF的魔数和文件结构，但它们可以直接在Microsoft Word中打开，触发嵌入的宏并执行恶意代码。在已记录的攻击中，文件通常使用.doc扩展名，确保根据Windows默认文件关联自动路由到Word。 这种技术之所以危险，是因为其双重性质的构成。这些文件在用标准PDF安全工具分析时看似无害，因为恶意内容存储在PDF对象结构之外但同一文件容器内。攻击基础设施涉及在合法的PDF文件对象后附加一个包含嵌入宏的mht文件。安全研究人员在检查文件的十六进制转储时确认，这种结构保持了PDF的头部信息，同时包含了Word文档的组成部分。 这意味着文件可以在不同的应用程序环境中运行，但结果却截然不同。当在标准的PDF查看器中打开时，文件会显示正常内容而不执行恶意行为。然而，当相同的文件被Microsoft Word处理时，它会激活嵌入的宏，建立命令和控制连接。传统的安全工具在面对这种技术时显示出显著的局限性。常见的PDF分析工具如pdfid无法识别恶意组件，因为它们仅专注于评估PDF的结构元素。同样，沙箱和防病毒解决方案可能会根据文件的初始PDF签名错误分类这些文件。 尽管存在这些规避能力，但安全团队可以实施有效的对策。OLEVBA，一个用于检测恶意Office宏的分析工具，对PDF中的MalDoc文件仍然有效。在处理这些混合文档时，OLEVBA能够成功识别并提取嵌入的宏代码，使安全人员能够识别恶意内容。 安全专业人员可以部署自定义的Yara规则来检测这些混合威胁。以下检测规则通过查找PDF签名和嵌入的Office文档结构来识别潜在的PDF中的MalDoc文件。 这种技术不会绕过Word的宏安全设置，如果禁用了自动宏执行，用户仍会收到安全提示。然而，这种方法在自动分析工作流中造成了显著的盲点，可能允许恶意软件穿透防御层。组织应更新其安全协议，以特别测试这些混合文件格式，特别是在经常处理来自外部来源的文档附件的环境中。建议实施技术和用户意识培训，以最小化风险暴露。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2016 年起，一项名为 “DollyWay” 的恶意软件活动通过入侵全球超过 20,000 个 WordPress 网站，将用户重定向至恶意网站。 在过去的八年里，该活动不断演变，采用了先进的逃避、重新感染和盈利策略。 据 GoDaddy 研究员 Denis Sinegubko 表示，DollyWay 在其最新版本（v3）中充当了一个大规模诈骗重定向系统。然而，在过去，它曾分发过更具破坏性的有效载荷，如勒索软件和银行木马。 “GoDaddy 安全研究人员发现了多个恶意软件活动之间的关联证据，这些活动汇聚成一个我们称之为 ‘DollyWay 世界统治’ 的长期运作，”GoDaddy 近期的一份报告解释道。 “虽然之前被认为是独立的活动，但我们的研究表明，这些攻击共享相同的基础设施、代码模式和盈利方法——所有迹象都表明它们与一个单一的、 sophisticated（复杂且老练的）威胁行为者有关。 “该行动的命名源于以下具有代表性的字符串，该字符串出现在某些恶意软件变种中：define(‘DOLLY_WAY’, ‘World Domination’)。” DollyWay v3 是一个先进的重定向操作，它利用插件和主题中的 n-day 漏洞来入侵易受攻击的 WordPress 网站。 截至 2025 年 2 月，DollyWay 每月通过将 WordPress 网站访客重定向至虚假的约会、赌博、加密货币和抽奖网站，产生 1,000 万次欺诈性展示。 该活动通过 VexTrio 和 LosPollos 附属网络进行盈利，在此之前，访客会通过流量分配系统（TDS）进行筛选。 流量分配系统根据访客的地理位置、设备类型和引荐来源等信息，对网络流量进行分析和重定向。网络犯罪分子通常利用恶意的 TDS 系统，将用户重定向至钓鱼网站或恶意软件下载页面。 这些网站是通过带有 ‘wp_enqueue_script’ 的脚本注入而被攻破的，该脚本会从被攻破的网站动态加载第二个脚本。 第二阶段收集访客的引荐来源数据，以帮助对重定向流量进行分类，然后加载决定目标有效性的 TDS 脚本。 直接访问网站且没有引荐来源、不是机器人（脚本中硬编码了 102 个已知机器人用户代理）、并且不是已登录的 WordPress 用户（包括管理员）的访客，被视为无效目标，不会被重定向。 第三阶段选择三个随机感染的站点作为 TDS 节点，然后从其中一个节点加载隐藏的 JavaScript，以执行最终到 VexTrio 或 LosPollos 诈骗页面的重定向。 该恶意软件使用附属跟踪参数，以确保攻击者每次重定向都能获得报酬。 值得注意的是，最终的重定向仅在访客与页面元素交互（点击）时发生，从而逃避仅检查页面加载的被动扫描工具。 Sinegubko 解释说，DollyWay 是一个非常顽固的威胁，它会在每次页面加载时自动重新感染网站，因此清除它尤其困难。 它通过将 PHP 代码分散在所有活跃插件中，并添加一个 WPCode 插件的副本（如果尚未安装）来实现这一目的，该插件包含混淆的恶意软件代码片段。 WPCode 是一个第三方插件，允许管理员添加小段 “代码”，在不直接编辑主题文件或 WordPress 代码的情况下修改 WordPress 功能。 作为攻击的一部分，黑客会将 WPCode 从 WordPress 插件列表中隐藏，以便管理员无法看到或删除它，这使得消毒变得复杂。 DollyWay 还会创建以随机 32 字符十六进制字符串命名的管理员用户，并将这些账户在管理员面板中隐藏。只有通过直接的数据库检查才能看到这些账户。 GoDaddy 共享了与 DollyWay 相关的完整妥协指标（IoCs），以帮助抵御这一威胁。 它将在后续文章中发布更多关于该行动基础设施和战术变化的细节。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文