趨勢科技收到報告通知說有大量淪陷的WordPress網站會導致CRIDEX中毒。為了引誘使用者連到這些惡意網站,網路犯罪份子假冒成知名寄件者(像是美國商業促進局和LinkedIn等等)來發送垃圾郵件(SPAM)。這些垃圾郵件會利用社交工程陷阱( Social Engineering)攻擊來誘使不知情的使用者點擊電子郵件中的連結。
點下這個連結會被導到一連串淪陷的WordPress網站,最終會出現在使用者前的是Blackhole漏洞攻擊包,它會針對CVE-2010-0188和CVE-2010-1885的漏洞攻擊。趨勢科技將之偵測為JS_BLACOLE.IC。
一旦使用者點入在圖3裡的網址,就會被重新導到有上述漏洞攻擊包的網站。
根據趨勢科技的分析,這個漏洞攻擊會安裝WORM_CRIDEX.IC在中毒電腦上。一旦被執行,這蠕蟲會連到一個遠端網站https://{Random URL}.ru:8080/rwx/B2_9w3/in/ 來下載它的設定檔。
WORM_CRIDEX.IC還會利用網域產生演算法(domain generating algorithms,DGA)來產生多個隨機網域。這是一個網路犯罪分子常常用來逃避執法單位和防止殭屍網路/傀儡網路 Botnet被關閉的技術。這個惡意軟體還會利用DGA來下載它的設定檔。在這份文章撰寫時,這樣本的確切行為會根據設定檔。但是根據靜態分析,它可以用來執行檔案、刪除檔案/資料夾並且從憑證儲存區中取得憑證。在我們測試時已經無法下載設定檔,所以也無法運作了。
趨勢科技主動式雲端截毒服務 Smart Protection Network可以保護使用者免受此一威脅的攻擊,我們已經封鎖了這個攻擊的相關網址,並且偵測所有的相關檔案。為了避免連上這些淪陷的網站,使用者在點擊可疑郵件的連結時都要三思而後行。務必要先確認這些郵件是否正常,特別是號稱來自知名單位的郵件。
@原文出處:Compromised WordPress sites Drive Users to Blackhole Exploit Kit作者:趨勢科技Karla Agregado (詐欺分析師)
@延伸閱讀