首頁 > 安全研究 > 安全通報 > 安全簡訊

惡意軟件DollyWay入侵超20,000個WordPress網站

發布時間 2025-03-20

1. 惡意軟件DollyWay入侵超20,000個WordPress網站


3月19日,自2016年起,名為“DollyWay”的惡意軟件已入侵全球超過20,000個WordPress網站,通過重定向用戶至惡意站點進行欺詐活動。DollyWay已歷經多次升級,采用先進的逃避、重新感染和貨幣化策略。最新版本(v3)作為大型詐騙重定向系統,利用插件和主題漏洞攻擊WordPress網站。截至2025年2月,DollyWay每月產生1000萬次欺詐性展示,通過虛假的約會、賭博、加密和抽獎網站盈利,利用VexTrio和LosPollos聯屬網絡實現流量變現。該惡意軟件通過流量引導系統篩選訪客,依據其位置、設備類型和引薦來源重定向流量。攻擊者利用“wp_enqueue_script”腳本注入入侵網站,通過多階段操作實現最終重定向。DollyWay還具備自我再感染能力,確保其在每次頁面加載時自動重新感染網站,難以清除。它通過傳播PHP代碼至活動插件,并添加混淆的惡意軟件片段的WPCode插件副本實現持久性。此外,DollyWay創建隱藏的管理員用戶賬戶,進一步增加防御難度。GoDaddy已分享與DollyWay相關的攻擊指標列表,以助防御此威脅,并將發布更多細節揭示其基礎設施和轉變策略。


https://www.bleepingcomputer.com/news/security/malware-campaign-dollyway-breached-20-000-wordpress-sites/


2. 跟蹤軟件SpyX數據泄露,近200萬用戶記錄遭曝光


3月19日,一款消費級間諜軟件SpyX于去年遭遇數據泄露,影響包括數千名蘋果用戶在內的近200萬人。此次泄露事件可追溯至2024年6月,但此前未被報道,SpyX運營商也未通知其客戶或目標用戶。SpyX家族自2017年以來已發生25次數據泄露,表明消費級間諜軟件行業持續激增,嚴重威脅個人隱私。泄露數據包含197萬條唯一帳戶記錄及電子郵件地址,涉及SpyX及其克隆版本MSafely和SpyPhone。約40%的電子郵件地址已在“我被黑了”網站上出現過。此次泄露還罕見地揭示了SpyX如何瞄準Apple用戶,泄露的緩存中包含約17,000組明文Apple帳戶用戶名和密碼。數據真實性已得到部分受害者確認,相關憑證已提供給蘋果。谷歌已撤下與SpyX活動相關的Chrome擴展程序。TechCrunch為Android用戶提供了間諜軟件移除指南,建議啟用Google Play Protect、使用雙重身份驗證等措施保護帳戶安全。iPhone和iPad用戶應檢查并刪除不認識的設備,確保使用長而獨特的密碼,并啟用雙重身份驗證。


https://techcrunch.com/2025/03/19/data-breach-at-stalkerware-spyx-affects-close-to-2-million-including-thousands-of-apple-users/


3. 賓夕法尼亞州教育工會數據泄露影響50萬人


3月19日,賓夕法尼亞州最大的公共部門工會賓夕法尼亞州教育協會 (PSEA) 于2024年7月發生了一起安全事件,導致超過517,487名個人的信息被盜,包括教師、支持人員、高等教育人員等教育專業人士。據PSEA透露,被盜信息可能包含個人、財務和健康數據,如社會安全號碼、支付卡信息、護照信息等。為應對此次事件,PSEA為受影響的個人提供了免費的IDX信用監控和身份恢復服務,并建議他們監控財務賬戶和信用報告,設置欺詐警報或安全凍結。盡管PSEA未明確指出攻擊者身份,但Rhysida勒索軟件團伙聲稱對此次入侵負責,并要求支付20比特幣贖金。雖然 PSEA 并未透露是否支付了贖金以防止數據泄露,但該勒索軟件團伙已從其暗網泄密網站中刪除了相關條目。CISA 和 FBI警告稱,Rhysida 的附屬機構是針對各行各業組織發起的多起機會性攻擊的幕后黑手,而美國衛生與公眾服務部 (HHS) 則認為 Rhysida與針對醫療保健組織的攻擊有關。


https://www.bleepingcomputer.com/news/security/pennsylvania-education-union-data-breach-hit-500-000-people/


4. 烏克蘭軍方成為新一輪Signal網絡釣魚攻擊的目標


3月19日,烏克蘭計算機應急反應小組(CERT-UA)發出警告,指出近期存在高度針對性的攻擊,攻擊者利用被入侵的Signal賬戶向國防工業公司和國家軍隊成員發送惡意軟件。這些攻擊始于本月,通過偽裝成會議報告的檔案進行,檔案中包含一個PDF和一個可執行文件,后者被證實為DarkTortilla加密器/加載器,用于解密并執行遠程訪問木馬Dark Crystal RAT (DCRAT)。CERT-UA已將此次活動在UAC-0200下進行跟蹤,這是一個自2024年6月以來就利用Signal進行類似攻擊的威脅集群。最近的攻擊中,網絡釣魚誘餌已更新,重點轉向與無人機、電子戰系統和其他軍事技術相關的主題。同時,Google威脅情報小組報告稱,俄羅斯黑客正在濫用Signal的“鏈接設備”功能來未經授權訪問感興趣的帳戶。因此,CERT-UA建議Signal用戶關閉附件的自動下載,對所有消息保持謹慎,并定期檢查鏈接設備列表。此外,用戶還應將通訊應用程序更新到最新版本,并啟用雙因素身份驗證,以增強帳戶保護。


https://www.bleepingcomputer.com/news/security/ukrainian-military-targeted-in-new-signal-spear-phishing-attacks/


5. Arcane惡意軟件竊取大量用戶數據,傳播方式不斷演變


3月19日,新發現的Arcane信息竊取惡意軟件正在竊取大量用戶數據,包括VPN帳戶憑據、游戲客戶端、消息應用程序和網絡瀏覽器中的信息。該惡意軟件活動始于2024年11月,主要感染俄羅斯、白俄羅斯和哈薩克斯坦的用戶。Arcane通過YouTube視頻宣傳游戲作弊和破解,誘騙用戶下載受密碼保護的檔案,其中包含混淆的腳本和惡意可執行文件。該惡意軟件還會為Windows Defender的SmartScreen過濾器添加排除項或完全關閉它。Arcane的廣泛數據竊取行為使其在眾多的信息竊取軟件中脫穎而出,它可以竊取硬件和軟件詳細信息、應用程序帳戶數據、配置文件以及網絡瀏覽器中的登錄信息、密碼和cookie。此外,Arcane還可以捕獲屏幕截圖和已保存的Wi-Fi網絡密碼。感染Arcane信息竊取程序后果不堪設想,用戶應時刻牢記下載未簽名的盜版和作弊工具的風險,并完全避免使用這些工具。


https://www.bleepingcomputer.com/news/security/new-arcane-infostealer-infects-youtube-discord-users-via-game-cheats/


6. ClearFake利用reCAPTCHA和Turnstile分發惡意軟件


3月19日,ClearFake是一個威脅活動集群,自2023年7月首次曝光以來,一直使用虛假的網絡瀏覽器更新、reCAPTCHA或Cloudflare Turnstile驗證等誘餌分發Lumma Stealer和Vidar Stealer等惡意軟件。該活動采用EtherHiding技術和ClickFix策略,利用幣安智能鏈合約獲取有效載荷,使攻擊鏈更具彈性。最新版本引入Web3功能來抵抗分析并加密HTML代碼。截至2024年5月,ClearFake攻擊已感染超過9,300個網站,2024年7月約有200,000名獨立用戶可能受到攻擊。此外,超過100家汽車經銷商網站受到ClickFix誘餌攻擊,導致SectopRAT惡意軟件部署。安全研究員指出,這些感染往往發生在第三方服務上,如LES Automotive的視頻服務。ClearFake還與幾起網絡釣魚活動相關,旨在推廣惡意軟件家族并進行憑證收集。隨著社會工程活動變得越來越復雜,組織和企業必須實施強大的身份驗證和訪問控制機制來抵御攻擊。


https://thehackernews.com/2025/03/clearfake-infects-9300-sites-uses-fake.html

上一篇 下一篇