HackerNews 编译，转载请注明出处： 拉撒路集团被发现开展了一项积极活动，该活动利用加密货币和旅游行业的虚假领英工作机会提供恶意软件，该软件能够感染Windows、macOS和Linux操作系统。 据网络安全公司Bitdefender称，该骗局始于在专业社交媒体网络上发送的一条消息，以远程工作、兼职灵活性和高薪为诱饵。 罗马尼亚这家公司在与The Hacker News分享的一份报告中称：“一旦目标对象表现出兴趣，‘招聘流程’随即展开，骗子会要求提供简历，甚至要求提供个人GitHub仓库链接。” “尽管这些要求看似无害，但可能暗藏祸心，比如收集个人数据，或为互动披上合法的外衣。” 在获取所需信息后，攻击进入下一阶段。此时，攻击者伪装成招聘人员，分享一个GitHub或Bitbucket仓库链接，内含一个所谓的去中心化交易所（DEX）项目的最小可行性产品（MVP）版本，并指示受害者查看并给出反馈。 代码中包含一个模糊脚本，该脚本被配置为从api.npoint[.]io获取下一阶段的有效载荷，这是一个跨平台JavaScript信息窃取软件，能够从受害者浏览器上安装的各种加密货币钱包扩展中收集数据。 该窃取软件还充当加载程序，用于获取一个基于Python的后门程序，该程序负责监控剪贴板内容变化、保持持久远程访问，并投放其他恶意软件。 值得注意的是，Bitdefender记录的手法与已知攻击活动集群“传染性面试”（又称DeceptiveDevelopment和DEV#POPPER）存在重叠，该集群旨在投放名为BeaverTail的JavaScript窃取软件和名为InvisibleFerret的Python植入程序。 通过Python恶意软件部署的恶意软件是一个.NET二进制文件，可以下载并启动TOR代理服务器以与命令和控制（C2）服务器通信、渗出基本系统信息，并投放另一个有效载荷，进而窃取敏感数据、记录键盘输入和启动加密货币挖矿程序。 Bitdefender表示：“攻击者的感染链十分复杂，包含用多种编程语言编写的恶意软件，并使用多种技术，如递归解码并执行自身的多层Python脚本、首先收集浏览器数据再转向其他有效载荷的JavaScript窃取软件，以及能够禁用安全工具、配置Tor代理和启动加密货币挖矿程序的.NET级联加载程序。” 领英和Reddit上的报告显示，这些攻击活动相当普遍，且整体攻击链仅有小幅调整。在某些情况下，要求候选人克隆一个Web3仓库并在本地运行，作为面试流程的一部分；而在其他情况下，则指示他们修复代码中故意引入的错误。 其中一个有问题的Bitbucket仓库涉及一个名为“miketoken_v2”的项目，该项目现已无法在代码托管平台上访问。 就在前一天，SentinelOne披露称，“传染性面试”活动正被用于投放另一个代号为FlexibleFerret的恶意软件。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在分发近1000个假冒Reddit和WeTransfer文件共享服务的网页，这些网页会诱导用户下载Lumma Stealer恶意软件。 在假冒网页上，威胁行为体滥用Reddit品牌，展示一个关于特定话题的虚假讨论线程。线程创建者请求帮助下载特定工具，另一名用户则通过WeTransfer上传该工具并分享链接，第三名用户表示感谢，以使整个过程看似合法。 假冒Reddit站点（来源：BleepingComputer） 不明真相的受害者点击链接后，会被带到一个模仿WeTransfer流行文件共享服务界面的假冒网站。点击“下载”按钮后，用户会被引导至“weighcobbweo[.]top”上托管的Lumma Stealer有效载荷。 此次活动中使用的所有网站都包含一串他们假冒的品牌名称，后面跟着随机数字和字符，以便在快速浏览时显得合法。顶级域名要么是“.org”，要么是“.net”。 参与此次活动的所有网站都包含一串他们假冒的品牌名称，后面跟着随机数字和字符，以便在快速浏览时显得合法。顶级域名要么是“.org”，要么是“.net”。 假冒WeTransfer门户（来源：BleepingComputer） Sekoia研究员crep1x发现了这些假冒网站，并分享了参与此次活动的完整网页列表。总共有529个假冒Reddit的页面和407个假冒WeTransfer官方服务的下载页面。 该研究员告诉BleepingComputer，他无法获取感染链先前阶段的任何线索，但使用的特定话题表明有一定的精心策划。 此次攻击可能始于恶意广告、搜索引擎中毒、恶意网站、社交媒体上的直接消息和其他手段。 一年前，同一位研究员发现了一场类似的活动，其中1300个网站滥用AnyDesk品牌来推广Vidar Stealer恶意软件。 信息窃取恶意软件的风险 Lumma Stealer是一款功能强大的工具，具有先进的逃避和数据窃取机制。该恶意软件被出售给黑客，黑客通过GitHub评论、裸照生成器网站和恶意广告等多种方式分发。 信息窃取恶意软件可以收集存储在网页浏览器中的密码和会话令牌等信息，这些信息可用于在不知道凭据的情况下劫持账户。 此类威胁通常用于从公司窃取敏感登录数据，而这些数据通常会在黑客论坛上出售。 最近，信息窃取软件对PowerSchool、HotTopic、CircleCI和Snowflake等公司发动了高影响力攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款新BackConnect（BC）恶意软件的详细信息，该软件由与臭名昭著的QakBot加载程序相关的威胁行为者开发。 沃尔玛网络情报团队向The Hacker News表示：“BackConnect是威胁行为者用来保持持久性和执行任务的一种常见功能或模块。正在使用的BackConnect包括‘DarkVNC’和IcedID的BackConnect（KeyHole）。” 该公司指出，BC模块是在同一基础设施上发现的，该基础设施还用于分发另一种名为ZLoader的恶意软件加载程序，该程序最近已更新，纳入了域名系统（DNS）隧道，用于命令与控制（C2）通信。 QakBot（又称QBot和Pinkslipbot）在2023年遭受重大运营挫折，其基础设施在一项名为“Duck Hunt”的协调执法行动中被查封。自那以后，不断有传播该恶意软件的零星活动被发现。 QakBot最初被设计为银行木马，后来被改造为加载程序，能够在目标系统上交付下一阶段的有效载荷，如勒索软件。QakBot和IcedID的一个显著特点是其BC模块，该模块使威胁行为者能够将主机用作代理，并通过嵌入的VNC组件提供远程访问通道。 沃尔玛的分析显示，BC模块除了包含对旧版QakBot样本的引用外，还得到了进一步增强和开发，用于收集系统信息，在某种程度上充当自主程序，以便利后续利用。 沃尔玛表示：“我们所说的这款恶意软件是一个独立的后门程序，利用BackConnect作为媒介，允许威胁行为者获得键盘访问权限。这款后门程序收集系统信息的特点进一步凸显了这一区别。” Sophos也对BC恶意软件进行了独立分析，将该软件的痕迹归因于其追踪的威胁集群STAC5777，该集群与Storm-1811重叠，Storm-1811是一个以假扮技术支持人员滥用Quick Assist部署Black Basta勒索软件而臭名昭著的网络犯罪集团。 这家英国网络安全公司指出，STAC5777和STAC5143（一个可能与FIN7有联系的威胁集团）都利用电子邮件轰炸和Microsoft Teams钓鱼攻击潜在目标，诱骗他们通过Quick Assist或Teams内置的屏幕共享功能授予攻击者远程访问其计算机的权限，以安装Python后门和Black Basta勒索软件。 Sophos表示：“这两个威胁行为者都在自己的攻击中运营Microsoft Office 365服务租户，并利用Microsoft Teams的默认配置，该配置允许外部域的用户与内部用户发起聊天或会议。” 沃尔玛表示，鉴于Black Basta运营商之前曾依赖QakBot部署勒索软件，而新款BC模块的出现，再加上Black Basta近几个月也分发了ZLoader的事实，这表明了一个高度互联的网络犯罪生态系统，其中QakBot背后的开发者很可能正在为Black Basta团队提供新工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现了一系列针对中国内地、中国香港地区和中国台湾地区用户的网络攻击活动。这些攻击活动利用一种名为ValleyRAT的已知恶意软件，通过一个多阶段加载器PNGPlug来传播。 根据Intezer发布的技术报告，攻击链始于一个钓鱼网页，该网页诱导受害者下载伪装成合法软件的恶意Microsoft Installer（MSI）安装包。一旦执行，该安装包会执行两项关键任务：一是部署一个看似合法的应用程序以掩盖恶意行为；二是静默提取一个包含恶意软件负载的加密存档。 报告指出，MSI安装包利用Windows Installer的CustomAction功能执行恶意代码，包括运行一个嵌入的恶意DLL文件。该DLL文件使用硬编码密码“hello202411”解密存档（all.zip），并提取核心恶意软件组件。这些组件包括： libcef.dll：作为加载器，通过填充大量无用代码使其体积膨胀至220MB，以此规避安全工具的检测。 down.exe：一个合法应用程序，用于掩盖恶意行为。 aut.png和view.png：伪装成PNG图片的恶意负载文件。 PNGPlug加载器的主要功能是为恶意软件的执行准备环境。它通过将aut.png和view.png注入内存，并通过修改Windows注册表来设置持久化，从而分别执行ValleyRAT恶意软件。 ValleyRAT自2023年以来已被发现，是一种远程访问木马（RAT），能够为攻击者提供对受感染机器的未经授权的访问和控制。该恶意软件的最新版本增加了截取屏幕截图和清除Windows事件日志的功能。此外，ValleyRAT与一个名为Silver Fox的威胁组织有关联，该组织还与另一个名为Void Arachne的活动集群存在战术重叠，因为它们都使用名为Winos 4.0的命令与控制（C2）框架。 此次攻击活动的独特之处在于其针对中文用户群体，并利用软件相关的诱饵激活攻击链。安全研究员Nicole Fishbein指出：“攻击者巧妙地利用合法软件作为恶意软件的传播机制，将恶意行为与看似无害的应用程序无缝结合。PNGPlug加载器的适应性进一步加剧了威胁，因为其模块化设计使其能够针对多个攻击活动进行定制 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cyfirma发现，名为Tanzeem（乌尔都语意为“组织”）和Tanzeem Update的安卓恶意软件与DoNot团队的高度针对性网络攻击有关。该恶意软件在2024年10月和12月被首次发现。经分析，这些应用功能几乎相同，仅在用户界面上有少量修改。 Cyfirma在周五的分析中指出：“尽管该应用被设计为聊天应用，但一旦安装后无法正常运行，安装并授予必要权限后即关闭。应用名称表明它的目标可能是特定的国内外个人或群体。” DoNot团队，亦称APT-C-35、Origami Elephant、SECTOR02和Viceroy Tiger，是一个被认为起源于印度的黑客组织，历史上曾通过鱼叉式网络钓鱼邮件和安卓恶意软件家族收集感兴趣的信息。 2023年10月，该组织与一个名为Firebird的基于.NET的后门恶意软件有关，该恶意软件针对巴基斯坦和阿富汗的少数受害者。 目前尚不清楚这次恶意软件的具体目标是谁，但推测其可能用于针对特定个人，以便对内部威胁进行情报收集。 这个恶意安卓应用的一个显著特点是使用了OneSignal平台，OneSignal是一个流行的客户互动平台，组织可通过该平台发送推送通知、应用内消息、电子邮件和短信。Cyfirma推测，恶意软件可能滥用此平台，通过推送通知发送包含钓鱼链接的消息，从而实现恶意软件的部署。 无论使用何种分发机制，安装后该应用会显示一个虚假的聊天界面，并促使受害者点击名为“开始聊天”的按钮。点击后，应用会触发一条消息，要求用户授予辅助服务API的权限，从而执行各种恶意操作。 该应用还请求访问若干敏感权限，包括获取通话记录、联系人、短信、精确位置、账户信息及外部存储中的文件等。有些其他功能还包括录制屏幕和与指挥控制（C2）服务器建立连接。 Cyfirma表示：“收集的样本揭示了一种新策略，利用推送通知鼓励用户安装其他安卓恶意软件，从而确保恶意软件在设备上的持久性。” “这一策略增强了恶意软件在目标设备上持续活动的能力，表明该威胁组织正在不断发展其情报收集的意图，继续为国家利益服务。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“pycord-self”的恶意软件包出现在Python包索引（PyPI）上，该软件包的目标用户为Discord开发者，旨在窃取认证令牌并在系统中植入后门以实现远程控制。 该软件包模仿了广受欢迎的“discord.py-self”软件包，后者下载量已近2800万次，并且甚至提供了正版项目的功能。 正版软件包是一个Python库，允许与Discord的用户API通信，并允许开发者以编程方式控制账户。 它通常用于消息传递和自动化交互、创建Discord机器人、编写自动化管理脚本、通知或响应，以及在不使用机器人账户的情况下运行命令或从Discord检索数据。 据代码安全公司Socket称，该恶意软件包去年6月被添加到PyPi上，截至目前已被下载885次。 截至发稿时，该软件包仍可通过一个已通过平台验证其详细信息的发布者从PyPI获取。 PyPI上的恶意软件包（图片来源：BleepingComputer） Socket研究人员分析了该恶意软件包，发现pycord-self包含执行两项主要操作的代码。一是从受害者处窃取Discord认证令牌并将其发送到外部URL。 攻击者可以使用窃取的令牌，在无需访问凭据的情况下劫持开发者的Discord账户，即使启用了双重身份验证保护也不例外。 该恶意软件包的第二个功能是，通过端口6969与远程服务器建立持久连接，从而设置一个隐蔽的后门机制。 Socket在报告中解释道：“根据操作系统的不同，它会启动一个shell（Linux上的“bash”或Windows上的“cmd”），使攻击者能够持续访问受害者的系统。” “后门在单独的线程中运行，这使得在软件包继续看似正常运行的同时难以检测到它。” 在机器上设置后门（图片来源：Socket） 建议软件开发人员避免在不确认代码来自官方作者的情况下安装软件包，尤其是热门软件包。验证软件包名称也可以降低遭遇拼写劫持攻击的风险。 在使用开源库时，如果可能的话，建议审查代码以查找可疑功能，并避免使用任何看似混淆的代码。此外，扫描工具可能有助于检测和阻止恶意软件包。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，黑客在不同的攻击活动中，将恶意代码隐藏在图片中，以传播诸如VIP键盘记录器和0bj3ctivity信息窃取器之类的恶意软件。 惠普狼安全（HP Wolf Security）在其与《黑客新闻》分享的2024年第三季度威胁洞察报告中指出：“在这两次攻击活动中，攻击者将恶意代码隐藏在上传到文件托管网站archive[.]org的图片中，并使用相同的.NET加载器来安装其最终的有效载荷。” 攻击始于一封伪装成发票和采购订单的钓鱼邮件，诱骗收件人打开恶意附件，如Microsoft Excel文档。打开这些文档后，会利用Equation Editor（CVE-2017-11882）中的已知安全漏洞下载VBScript文件。 该脚本旨在解码并运行一个PowerShell脚本，该脚本会从archive[.]org上托管的一个图片中提取Base64编码的代码，然后将其解码为.NET可执行文件并执行。 .NET可执行文件作为加载器，从给定URL下载VIP键盘记录器并运行，使威胁行为者能够从受感染的系统窃取包括键盘输入、剪贴板内容、屏幕截图和凭据在内的广泛数据。VIP键盘记录器与Snake键盘记录器和404键盘记录器存在功能重叠。 另一次类似的攻击活动被发现通过电子邮件向目标发送恶意归档文件。这些邮件伪装成询价请求，旨在诱使收件人打开归档文件内的JavaScript文件，然后启动PowerShell脚本。 与前面的案例类似，PowerShell脚本会从远程服务器下载一张图片，解析其中的Base64编码代码，并运行相同的基于.NET的加载器。不同的是，这次攻击链的最终结果是部署了一个名为0bj3ctivity的信息窃取器。 两次攻击活动的相似之处表明，黑客正在利用恶意软件工具包来提高整体效率，同时降低制作攻击所需的时间和技术专长。 惠普狼安全还表示，它观察到恶意行为者利用HTML走私技术，通过AutoIt释放器投放XWorm远程访问木马（RAT），这与之前以类似方式分发AsyncRAT的攻击活动相呼应。 “值得注意的是，HTML文件带有表明它们是在GenAI的帮助下编写的标志，”惠普表示。“这一活动表明，在攻击链的初始访问和恶意软件投放阶段，GenAI的使用正在不断增加。” “事实上，黑客从GenAI中获得了诸多好处，从扩大攻击规模、创建可能提高感染率的变种，到使网络防御者更难进行归因。” 不仅如此，黑客还创建了GitHub存储库，宣传视频游戏作弊和修改工具，以便使用.NET释放器部署Lumma Stealer恶意软件。 惠普安全实验室的首席威胁研究员亚历克斯·霍兰德（Alex Holland）表示：“分析过的这些攻击活动进一步证明了网络犯罪的商品化。随着数字恶意软件工具包更加自由、实惠和易用，即使技能有限、知识有限的新手也能拼凑出有效的感染链。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个由13,000台米克罗提克（MikroTik）设备组成的新发现僵尸网络，利用域名服务器记录中的配置错误，绕过电子邮件保护，通过伪造大约20,000个网络域名传播恶意软件。 该威胁行为者利用了用于列出所有被授权代表一个域名发送电子邮件的服务器的发件人策略框架（SPF）的DNS记录配置不当。 据DNS安全公司英飞凌（Infoblox）称，这起恶意垃圾邮件活动于2024年11月末活跃。部分电子邮件假冒DHL快递公司，发送包含ZIP压缩包的虚假货运发票，而该压缩包内含有恶意有效载荷。 ZIP附件中是一个JavaScript文件，该文件组装并运行一个PowerShell脚本。该脚本与之前与俄罗斯黑客相关的域名上的威胁行为者的命令和控制（C2）服务器建立连接。 “许多垃圾邮件的标题揭示了大量域名和SMTP服务器IP地址，我们意识到，我们发现了一个由大约13,000台被劫持的米克罗提克设备组成的庞大网络，它们都是一个大型僵尸网络的一部分”，英飞凌解释道。 英飞凌解释说，大约20,000个域名的SPF DNS记录被配置为过于宽泛的“+all”选项，这允许任何服务器代表这些域名发送电子邮件。 “这实际上使SPF记录失去了意义，因为它为伪造和未经授权的电子邮件发送打开了大门”，英飞凌指出。 更安全的选择是使用“-all”选项，它将电子邮件发送限制为域名指定的服务器。 僵尸网络操作概述（来源：英飞凌） 入侵方法尚不清楚，但英飞凌表示，他们“看到了各种受影响的版本，包括最近的[米克罗提克]固件版本”。 米克罗提克路由器以其强大性能而闻名，威胁行为者瞄准它们，以创建能够进行非常强大攻击的僵尸网络。 就在去年夏天，云服务提供商OVHcloud指责一个由被攻破的米克罗提克设备组成的僵尸网络发动了一次大规模拒绝服务攻击，峰值达到创纪录的每秒8.4亿个数据包。 尽管敦促米克罗提克设备所有者更新系统，但由于补丁更新速度非常慢，许多路由器在很长一段时间内仍然存在漏洞。 本案中的僵尸网络将这些设备配置为SOCKS4代理，以发动分布式拒绝服务（DDoS）攻击、发送网络钓鱼电子邮件、数据外泄，并普遍帮助掩盖恶意流量的来源。 “尽管僵尸网络由13,000台设备组成，但它们作为SOCKS代理的配置允许数十万甚至数百万台被攻陷的机器使用它们进行网络访问，从而显著放大了僵尸网络操作的潜在规模和影响”，英飞凌评论道。 建议米克罗提克设备所有者为其型号应用最新的固件更新，更改默认管理员帐户凭据，并在不需要时关闭控制面板的远程访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）周二透露，一项法院授权的行动允许联邦调查局（FBI）作为“数月执法行动”的一部分，从4250多台受感染电脑中删除了PlugX恶意软件。 PlugX（又称Korplug）是一种远程访问木马（RAT），被与中国（PRC）相关的威胁行为者广泛使用，用于信息窃取和远程控制被攻陷的设备。 FBI提交的一份宣誓书指出，已确定的PlugX变种与一个名为Mustang Panda（又称BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416和Twill Typhoon）的国家支持的黑客组织有关联。 “自2014年以来，Mustang Panda黑客们在一系列针对美国受害者以及欧洲和亚洲政府和企业的活动中，渗透了数千个计算机系统，还攻击了中国异见人士团体，”司法部表示。 该威胁行为者的其他目标还包括中国台湾、中国香港、日本、韩国、蒙古国、印度、缅甸、印度尼西亚、菲律宾、泰国、越南和巴基斯坦。 此次干扰行动是更大规模“消毒”行动的一部分，该行动自2024年7月底开始，旨在清除受感染系统中的PlugX恶意软件。巴黎检察院和网络安全公司Sekoia此前曾分享过此次活动的详细信息。 Sekoia此前详细介绍称，这种特定的PlugX变种会通过连接的USB设备传播到其他系统。该恶意软件一旦安装，就会向攻击者控制的服务器（“45.142.166[.]112”）发出信号，等待进一步指令以从主机收集数据。 2024年4月底，该公司还透露，它仅花费了7美元就瘫痪了与该IP地址相关的服务器，从而得以发出自我删除指令，从受感染的设备中删除恶意软件。 该指令执行了以下步骤： 删除受害电脑上由PlugX恶意软件创建的文件； 删除用于在受害电脑启动时自动运行PlugX应用程序的PlugX注册表项； 创建一个临时脚本文件，以便在停止PlugX应用程序后删除它； 停止PlugX应用程序； 运行临时文件以删除PlugX应用程序、删除PlugX恶意软件在受害电脑上创建的用于存储PlugX文件的目录，以及从受害电脑上删除临时文件。 FBI表示，自我删除指令不会影响美国境内目标设备上的任何合法功能或文件，也不会从它们传输任何其他数据。 上个月，Sekoia表示，作为为10个国家开展PlugX消毒过程而建立的法律框架的一部分，已针对5539个IP地址发出了多达59475个消毒有效载荷。 “这次大规模黑客攻击以及数千台基于Windows的电脑（包括美国许多家庭电脑）长期感染，表明了中国国家支持的黑客肆无忌惮、咄咄逼人，”美国宾夕法尼亚州东区检察官Jacqueline Romero说。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场新的恶意软件攻击活动已使超过5000个WordPress网站沦陷，攻击者在这些网站上创建了管理员账户、安装了恶意插件并窃取数据。 网络安全公司c/side的研究人员在对一家客户的事件响应中发现，恶意活动利用wp3[.]xyz域名进行数据外泄，但尚未确定最初的感染途径。 在攻击目标沦陷后，从wp3[.]xyz域名加载的恶意脚本会创建一个名为wpx_admin的非法管理员账户，其凭据直接写在代码中。 创建非法管理员账户（图片来源：c/side） 随后，脚本会从同一域名下载恶意插件（plugin.php），并在沦陷网站上激活它。 据c/side称，该插件旨在收集敏感数据，如管理员凭据和日志，并以一种混淆方式将其发送到攻击者服务器，伪装成图片请求。 攻击还包括多个验证步骤，如在创建非法管理员账户后记录操作状态，并验证恶意插件的安装情况。 阻止攻击 c/side建议网站管理员使用防火墙和安全工具屏蔽“wp3[.]xyz”域名。 此外，管理员应审查其他特权账户和已安装插件的列表，识别未经授权的活动，并尽快删除。 最后，建议通过生成唯一令牌、服务器端验证和定期重新生成来加强WordPress网站的CSRF防护。令牌应具有较短的过期时间，以限制其有效期。 同时，为已泄露凭据的账户实施多因素身份验证，也可增强账户安全性。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文