HackerNews 编译,转载请注明出处:
网络安全研究人员正提醒公众警惕一场针对 WordPress 网站的恶意攻击活动:攻击者通过注入恶意 JavaScript 代码,将网站访客重定向至可疑站点。
网站安全公司 Sucuri 的研究员普贾・斯里瓦斯塔瓦在上周发布的分析报告中指出:“访客会被注入‘无交互感染型恶意软件’(drive-by malware),例如伪装成 Cloudflare 验证页面的恶意内容。”
该公司表示,其启动调查的起因是一位客户的 WordPress 网站向访客推送了可疑的第三方 JavaScript 代码。最终调查发现,攻击者对网站主题相关文件 “functions.php” 进行了恶意篡改。
注入 “functions.php” 的代码中包含谷歌广告(Google Ads)的引用,此举很可能是为了规避检测。但实际上,这段代码相当于一个 “远程加载器”,会向域名 “brazilc [.] com” 发送 HTTP POST 请求,而该域名会返回一个包含两个组件的动态载荷:
- 一个托管在远程服务器 “porsasystem [.] com” 上的 JavaScript 文件(截至发稿时,已有 17 个网站引用过该文件),其中包含实现网站重定向的代码;一段 JavaScript 代码,用于创建一个 1×1 像素的隐藏 iframe(内嵌框架),并在框架中注入模仿 Cloudflare 合法资源的代码,例如 “cdn-cgi/challenge-platform/scripts/jsd/main.js”—— 该 API 是 Cloudflare 机器人检测与验证平台的核心组件。
数字取证与事件响应(DFIR)外包服务
值得注意的是,域名 “porsasystem [.] com” 已被标记为 “Kongtuke” 流量分发系统(TDS)的一部分。该系统还有多个别名,包括 404 TDS、Chaya_002、LandUpdate808 和 TAG-124。
根据 2025 年 9 月 19 日 Mastodon 平台上名为 “monitorsg” 的账号分享的信息,该攻击感染链的流程如下:用户访问已被入侵的网站后,会触发 “porsasystem [.] com/6m9x.js” 的执行,随后跳转至 “porsasystem [.] com/js.php”,最终将受害者引导至 ClickFix 风格的页面,以分发恶意软件。
上述发现凸显了保护 WordPress 网站的必要性,具体措施包括:确保插件、主题及网站软件保持最新版本;设置强密码;定期扫描网站以检测异常情况;警惕未经授权创建的管理员账号(此类账号常被用于在恶意软件被检测和清除后,仍能维持对网站的持久控制)。
利用 IUAM ClickFix 生成器创建 ClickFix 页面
与此同时,帕洛阿尔托网络公司(Palo Alto Networks)的 Unit 42 团队披露了一款名为 “IUAM ClickFix 生成器” 的钓鱼工具包。攻击者可借助该工具包,利用 ClickFix 社会工程学技术感染用户设备,并通过模仿 “浏览器验证挑战”(常用于拦截自动化流量)创建可自定义的钓鱼着陆页。
安全研究员阿米尔・埃尔萨德表示:“这款工具能让威胁行为者创建高度可定制的钓鱼页面,这些页面会模仿内容分发网络(CDN)和云安全服务商常用的‘浏览器验证挑战响应界面’(用于防御自动化威胁)。这种伪造的界面设计得足以让受害者信以为真,从而提升钓鱼诱饵的成功率。”
这类定制化钓鱼页面还具备剪贴板操控功能 —— 这是 ClickFix 攻击中的关键步骤;同时能检测用户使用的操作系统,以便针对性地调整感染流程,并推送兼容的恶意软件。
目前已发现至少两起案例:威胁行为者利用该工具包生成的页面,部署了 DeerStealer 和 Odyssey Stealer 等信息窃取恶意软件,其中 Odyssey Stealer 专门针对苹果 macOS 系统设计。
IUAM ClickFix 生成器的出现,印证了此前微软发布的一则预警:自 2024 年底起,地下论坛中商用 ClickFix 构建工具的数量持续增加。另一款集成了类似功能的知名钓鱼工具包是 “Impact Solutions”。
微软在 2025 年 8 月曾指出:“这些工具包支持创建包含多种诱饵的着陆页,其中就包括伪装成 Cloudflare 的页面;还能生成恶意命令,诱骗用户将其粘贴到 Windows‘运行’对话框中。工具包开发商声称可保证绕过杀毒软件和网页防护(部分甚至宣称能绕过微软 Defender SmartScreen),并能确保载荷的持久化运行。”
毋庸置疑,这类工具进一步降低了网络犯罪的门槛,使得攻击者无需具备深厚技术知识或投入大量精力,就能发起规模化、复杂的跨平台攻击。
借助缓存走私技术,ClickFix 攻击更具隐蔽性
此前研究人员还发现了一场新型攻击活动:该活动对 ClickFix 攻击模式进行了创新,采用了一种名为 “缓存走私”(cache smuggling)的隐蔽技术,无需在目标主机上显式下载任何恶意文件,就能规避检测。
Expel 公司首席威胁研究员马库斯・哈钦斯表示:“这场攻击活动与以往的 ClickFix 变种不同,其恶意脚本不会下载任何文件,也不会与互联网进行通信。实现这一点的关键,是利用浏览器缓存将任意数据预先存储到用户设备上。”
互联网安全中心(CIS)构建工具包
该网络安全公司记录的这场攻击中,ClickFix 风格的钓鱼页面伪装成 “Fortinet VPN 合规检查器”,并采用 “FileFix 战术” 欺骗用户:诱使用户打开 Windows 文件资源管理器,然后将恶意命令粘贴到地址栏中,最终触发恶意载荷的执行。
这段隐藏的恶意命令会通过 conhost.exe 程序运行一个 PowerShell 脚本。该脚本的特别之处在于,它不会下载任何额外的恶意软件,也不会与攻击者控制的服务器通信。相反,它会执行一段伪装成 JPEG 图片的混淆载荷 —— 而这段载荷在用户访问钓鱼页面时,就已被浏览器缓存到本地。
哈钦斯解释道:“无论是网页本身还是 PowerShell 脚本,都没有显式下载任何文件。只需让浏览器缓存这个伪造的‘图片’,恶意软件就能将整个压缩文件植入本地系统,而无需通过 PowerShell 命令发起任何网络请求。”
“这种技术的潜在影响令人担忧:缓存走私可能成为一种规避防护的手段 —— 原本用于检测‘恶意文件下载与执行’的防护机制,将无法识别此类攻击。表面上下载的是一个看似无害的‘image/jpeg’文件,但实际上其内容会被提取,并通过隐藏在 ClickFix 钓鱼诱饵中的 PowerShell 命令执行。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
