【惡意攻擊】6000 WordPress網站遭入侵 假訊息誘導網民裝資訊盜竊器

    不少網站都會使用 WordPress 平台製作及管理網站,但有雲端服務供應商就發現,近來兩個有關連的黑客組織 Clearfake 及 Clickfix 已成功入侵 6000 個 WordPress 帳戶,並在網站的 HTML 碼中偷偷加入惡意功能,只要有人訪問網站,就會彈出虛假的錯誤及修復訊息建議,誘導網民安裝資訊盜竊器。雖然需要網民手動執行多個步驟,未必容易成功,但專家亦強調網站管理員必須小心提防中招。

    WordPress 一直是黑客的熱門攻擊對象,因為使用其服務的企業或個人用家極多,而憑著擁有大量功能插件,WordPress 亦成為最多人使用的網站管理平台之一。根據官方最新公布的數字,全球約有 4.78 億個網站都是使用其平台建立及管理,在所有網站中佔 43.5%,有如此龐大的用戶群及影響力,難怪會成為黑客頭號攻擊目標,過往就有不少網絡攻擊事件發生,當中以盜取管理員身份憑證、編寫帶有惡意功能的插件,以及濫用平台或插件的零日或已知漏洞佔最多數。

    而在這次發現的事件中,雲端服務供應商 GoDaddy 的專家指出黑客是盜用了管理員帳戶的登入資料,然後在網站內注入 ClearFake 或 ClickFix 惡意功能的偽冒插件,例如會假扮為合法的 SEO 工具、Litespeed 網站優化工具等等。

    當有網民訪問網站,惡意編碼便會啟動並在到訪者的瀏覽器上彈出 Google Chrome、Google Meet 或 Facebook 的錯誤及修復訊息,要求網民複製及手動執行一段實際上含惡竟資訊竊取功能的 Powershell 指令,以此入侵對方的電腦。專家說 ClearFake 的攻擊自 2023 年已出現,而 ClickFix 則在今年 6 月至 9 月開始活躍。

    另一間網站安全公司 Sucuri 也公布了一個名為 Universal Popup Plugin 的假外掛程式攻擊報告,黑客在目標網站後台安裝惡意插件後,便會自動嘗試載入儲存於幣安智能鏈智能合約中惡意 JavaScript 文件,然後載入 ClearFake 或 ClickFix 編碼。

    報告中指出黑客似乎正在利用竊取的管理員憑證登入 WordPress 網站,而且還是透過單一 POST HTTP 請求登入後台管理頁面,相信是以自動化的方式完成入侵活動。專家指雖然不清楚黑客如何取得憑證,但估計是透過先前的暴力破解攻擊、網絡釣魚和資訊竊取惡意軟件等方法取得。

    如果網站是以 WordPress 建立及管理,專家建議管理員應該立即檢查已安裝插件列表,並刪除任何可疑的插件。如發現未知插件,管理員還應該立即重設所有管理員使用者的密碼。

    #CyberSecurity #WordPress #網絡安全

    相關文章