不斷變換作案手法的敲詐者病毒木馬令用戶越來越難以察覺。近日,騰訊電腦管家安全感知系統發現,備受開發者青睞的網站搭建平臺WordPress被大范圍攻陷,致使用戶在Chrome或Chrome內核瀏覽器中打開部分使用WordPress平臺搭建的網站時出現亂碼,并提示需要下載字體更新程序并執行后才能正常訪問。一旦用戶點擊下載更新,植入其中的新型敲詐者病毒Spora便會自動運行,將所有用戶文件加密。目前,騰訊電腦管家已經可以全面攔截該病毒木馬。
(騰訊電腦管家攔截Spora敲詐者)
騰訊電腦管家安全專家在深入分析了被攻陷網站之后,還原了此次病毒作案的始末:此次攻擊系臭名昭著的“EITest”惡意軟件活動所為,已發現不法分子攻陷了Wordpress框架的網站之后,在該網站正常的頁面代碼末尾添加JavaScript代碼,致使該頁面在用戶訪問時出現亂碼,然后提示下載字體更新程序并執行后才能正常訪問。下面可以看到這個代碼在源代碼中的樣子。
(網頁原代碼結尾處插入JS代碼)
當訪問者訪問此頁面時,腳本將干擾頁面的文本,使其出現亂碼:
(網頁干擾代碼)
隨后彈出一個警告窗口,指出該頁面因為缺少“HoeflerText”字體無法正確顯示,同時提示點擊Update按鈕從而下載該Chrome字體包。
(網頁字體更新彈窗代碼)
(網頁字體更新彈窗)
當用戶單擊Update按鈕時,彈出窗口會自動下載名為Chrome Font v1.55.exe的文件并將其保存到默認下載文件夾,然后跳轉到一個說明頁面,提示如何找到和運行下載的字體更新程序。
(網頁字體更新運行提示)
Chrome Font v1.55.exe實際上是Spora 系列敲詐者病毒。用戶一旦運行該病毒,電腦上所有工作和個人文件將會被加密而無法使用。當完成對文件的加密時,電腦將顯示敲詐頁面,告知中招者登錄Spora支付網站以確定贖金金額或付款。
(Spora敲詐者提示彈窗)
目前已知存在Wordpress漏洞并且遭到攻擊的網站有:
騰訊安全聯合實驗室分析發現這批使用Wordpress搭建的網站均存在一些關鍵漏洞未及時進行修補。廣大網站管理人員應隨時關注Wordpress官網安全公告,并及時升級到最新版本以免發生更多攻擊事件。
(受到攻擊網站存在的漏洞)
騰訊安全反病毒實驗室專家馬勁松提醒用戶,攻擊者將病毒程序偽裝成Chrome的Google字體更新程序,從而誘騙人們運行它。由于用戶身處攻擊者造成的網頁亂碼“環境”中,很容易誤以為真的是字體出現問題,進而下載運行準備好的“修復程序”,一旦用戶雙擊并執行該程序,就會中招。這種攻擊方式技術難度不算太高,但是借由網站字體更新很容易令用戶降低防備。同時提醒大家,上網時如若遇到類似的情況,建議暫時停止訪問該網站,并開啟騰訊電腦管家,實時攔截木馬。
