如果你之前访问过邓禄普粘合剂的DIY新项目网站,危地马拉的假日旅游官网,或者其他许多合理合法的网站(某些情况下合理合法),你很可能会发现很多你不用的信息。这种网站会将访问者重定向到一个故意的网站,该网站会尝试在客户端设备上安装CryptXXX。是一系列的数据加密勒索,最早发现于2020年4月。
据端点安全手机软件分销商Invincea的科研人员报告,这类网站很可能是被一种叫做SoakSoak的拒绝服务攻击或类似的全自动攻击入侵的。这种攻击会寻找脆弱的WordPress软件和其他没有安装hotfix进程的内容可视化工具,并借此机会下手。
SoakSoak是乌克兰的一个网站域名,自出现以来已经攻击了上千个网站。2014年12月,就在拒绝服务攻击使用WordPressRevSlider软件攻击关系网站的一天后,谷歌不得不关闭了11000多个域。
在最近的一次攻击中,SoakSoak的嵌入式代码可以准确地将客户定位到一个将安装中微子漏洞利用工具包的网站,这是一个用于引入地下贸易市场中出售的“商业服务”恶意软件的特殊工具。攻击似乎在5月份才刚刚开始,但从那时起,恶意软件工具箱和恶意软件就已经升级了。最新版本的开发和设计组件试图避开保护软件的检查。
endpointsecurity手机软件分销商Invincea的PatBelcher在其博客中写道,“一旦受害者被重新定位到中微子漏洞利用工具包,终端设备将扫描客户是否应用了保护软件(如VMWare、Wireshark、ESET、Fiddler或Flash播放软件来调整机器和设备)。如果受害服务器中没有这样的程序流,将会打开shell命令程序流,Wscript的windows程序流将会从指南 *** 纵网络服务器中免费下载恶意软件的合理有效载荷。”
CryptXXX就像是数据加密和勒索的另一种变体。步骤是加密文件,标记受害者到一个Tor.onion网站,获取受害者支付保释金的密钥。恶意软件将试图初始化每一个可能的控制器,以搜索文件,网络驱动器,外设和本地磁盘。攻击者明确提出的保释金数额通常极其巨大,有时甚至超过使用价值500美元的BTC。
Ars试图联系邓洛普和其他受影响的网站,但他们尚未收到任何回应。我们会继续追踪。即使这种组织已经与攻击者进行了勤奋的斗争,其他网站也很可能很快被占领,因为也有很多网站没有恢复其加载项(如WordPress软件)。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)