不断变换作案手法的敲诈者病毒木马令用户越来越难以察觉。近日,腾讯电脑管家安全感知系统发现,备受开发者青睐的网站搭建平台WordPress被大范围攻陷,致使用户在Chrome或Chrome内核浏览器中打开部分使用WordPress平台搭建的网站时出现乱码,并提示需要下载字体更新程序并执行后才能正常访问。一旦用户点击下载更新,植入其中的新型敲诈者病毒Spora便会自动运行,将所有用户文件加密。目前,腾讯电脑管家已经可以全面拦截该病毒木马。
(腾讯电脑管家拦截Spora敲诈者)
腾讯电脑管家安全专家在深入分析了被攻陷网站之后,还原了此次病毒作案的始末:此次攻击系臭名昭著的“EITest”恶意软件活动所为,已发现不法分子攻陷了Wordpress框架的网站之后,在该网站正常的页面代码末尾添加JavaScript代码,致使该页面在用户访问时出现乱码,然后提示下载字体更新程序并执行后才能正常访问。下面可以看到这个代码在源代码中的样子。
(网页原代码结尾处插入JS代码)
当访问者访问此页面时,脚本将干扰页面的文本,使其出现乱码:
(网页干扰代码)
随后弹出一个警告窗口,指出该页面因为缺少“HoeflerText”字体无法正确显示,同时提示点击Update按钮从而下载该Chrome字体包。
(网页字体更新弹窗代码)
(网页字体更新弹窗)
当用户单击Update按钮时,弹出窗口会自动下载名为Chrome Font v1.55.exe的文件并将其保存到默认下载文件夹,然后跳转到一个说明页面,提示如何找到和运行下载的字体更新程序。
(网页字体更新运行提示)
Chrome Font v1.55.exe实际上是Spora 系列敲诈者病毒。用户一旦运行该病毒,电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时,电脑将显示敲诈页面,告知中招者登录Spora支付网站以确定赎金金额或付款。
(Spora敲诈者提示弹窗)
目前已知存在Wordpress漏洞并且遭到攻击的网站有:
腾讯安全联合实验室分析发现这批使用Wordpress搭建的网站均存在一些关键漏洞未及时进行修补。广大网站管理人员应随时关注Wordpress官网安全公告,并及时升级到最新版本以免发生更多攻击事件。
(受到攻击网站存在的漏洞)
腾讯安全反病毒实验室专家马劲松提醒用户,攻击者将病毒程序伪装成Chrome的Google字体更新程序,从而诱骗人们运行它。由于用户身处攻击者造成的网页乱码“环境”中,很容易误以为真的是字体出现问题,进而下载运行准备好的“修复程序”,一旦用户双击并执行该程序,就会中招。这种攻击方式技术难度不算太高,但是借由网站字体更新很容易令用户降低防备。同时提醒大家,上网时如若遇到类似的情况,建议暂时停止访问该网站,并开启腾讯电脑管家,实时拦截木马。
