恶意软件DollyWay入侵超20,000个WordPress网站
发布时间 2025-03-201. 恶意软件DollyWay入侵超20,000个WordPress网站
3月19日,自2016年起,名为“DollyWay”的恶意软件已入侵全球超过20,000个WordPress网站,通过重定向用户至恶意站点进行欺诈活动。DollyWay已历经多次升级,采用先进的逃避、重新感染和货币化策略。最新版本(v3)作为大型诈骗重定向系统,利用插件和主题漏洞攻击WordPress网站。截至2025年2月,DollyWay每月产生1000万次欺诈性展示,通过虚假的约会、赌博、加密和抽奖网站盈利,利用VexTrio和LosPollos联属网络实现流量变现。该恶意软件通过流量引导系统筛选访客,依据其位置、设备类型和引荐来源重定向流量。攻击者利用“wp_enqueue_script”脚本注入入侵网站,通过多阶段操作实现最终重定向。DollyWay还具备自我再感染能力,确保其在每次页面加载时自动重新感染网站,难以清除。它通过传播PHP代码至活动插件,并添加混淆的恶意软件片段的WPCode插件副本实现持久性。此外,DollyWay创建隐藏的管理员用户账户,进一步增加防御难度。GoDaddy已分享与DollyWay相关的攻击指标列表,以助防御此威胁,并将发布更多细节揭示其基础设施和转变策略。
https://www.bleepingcomputer.com/news/security/malware-campaign-dollyway-breached-20-000-wordpress-sites/
2. 跟踪软件SpyX数据泄露,近200万用户记录遭曝光
3月19日,一款消费级间谍软件SpyX于去年遭遇数据泄露,影响包括数千名苹果用户在内的近200万人。此次泄露事件可追溯至2024年6月,但此前未被报道,SpyX运营商也未通知其客户或目标用户。SpyX家族自2017年以来已发生25次数据泄露,表明消费级间谍软件行业持续激增,严重威胁个人隐私。泄露数据包含197万条唯一帐户记录及电子邮件地址,涉及SpyX及其克隆版本MSafely和SpyPhone。约40%的电子邮件地址已在“我被黑了”网站上出现过。此次泄露还罕见地揭示了SpyX如何瞄准Apple用户,泄露的缓存中包含约17,000组明文Apple帐户用户名和密码。数据真实性已得到部分受害者确认,相关凭证已提供给苹果。谷歌已撤下与SpyX活动相关的Chrome扩展程序。TechCrunch为Android用户提供了间谍软件移除指南,建议启用Google Play Protect、使用双重身份验证等措施保护帐户安全。iPhone和iPad用户应检查并删除不认识的设备,确保使用长而独特的密码,并启用双重身份验证。
https://techcrunch.com/2025/03/19/data-breach-at-stalkerware-spyx-affects-close-to-2-million-including-thousands-of-apple-users/
3. 宾夕法尼亚州教育工会数据泄露影响50万人
3月19日,宾夕法尼亚州最大的公共部门工会宾夕法尼亚州教育协会 (PSEA) 于2024年7月发生了一起安全事件,导致超过517,487名个人的信息被盗,包括教师、支持人员、高等教育人员等教育专业人士。据PSEA透露,被盗信息可能包含个人、财务和健康数据,如社会安全号码、支付卡信息、护照信息等。为应对此次事件,PSEA为受影响的个人提供了免费的IDX信用监控和身份恢复服务,并建议他们监控财务账户和信用报告,设置欺诈警报或安全冻结。尽管PSEA未明确指出攻击者身份,但Rhysida勒索软件团伙声称对此次入侵负责,并要求支付20比特币赎金。虽然 PSEA 并未透露是否支付了赎金以防止数据泄露,但该勒索软件团伙已从其暗网泄密网站中删除了相关条目。CISA 和 FBI警告称,Rhysida 的附属机构是针对各行各业组织发起的多起机会性攻击的幕后黑手,而美国卫生与公众服务部 (HHS) 则认为 Rhysida与针对医疗保健组织的攻击有关。
https://www.bleepingcomputer.com/news/security/pennsylvania-education-union-data-breach-hit-500-000-people/
4. 乌克兰军方成为新一轮Signal网络钓鱼攻击的目标
3月19日,乌克兰计算机应急反应小组(CERT-UA)发出警告,指出近期存在高度针对性的攻击,攻击者利用被入侵的Signal账户向国防工业公司和国家军队成员发送恶意软件。这些攻击始于本月,通过伪装成会议报告的档案进行,档案中包含一个PDF和一个可执行文件,后者被证实为DarkTortilla加密器/加载器,用于解密并执行远程访问木马Dark Crystal RAT (DCRAT)。CERT-UA已将此次活动在UAC-0200下进行跟踪,这是一个自2024年6月以来就利用Signal进行类似攻击的威胁集群。最近的攻击中,网络钓鱼诱饵已更新,重点转向与无人机、电子战系统和其他军事技术相关的主题。同时,Google威胁情报小组报告称,俄罗斯黑客正在滥用Signal的“链接设备”功能来未经授权访问感兴趣的帐户。因此,CERT-UA建议Signal用户关闭附件的自动下载,对所有消息保持谨慎,并定期检查链接设备列表。此外,用户还应将通讯应用程序更新到最新版本,并启用双因素身份验证,以增强帐户保护。
https://www.bleepingcomputer.com/news/security/ukrainian-military-targeted-in-new-signal-spear-phishing-attacks/
5. Arcane恶意软件窃取大量用户数据,传播方式不断演变
3月19日,新发现的Arcane信息窃取恶意软件正在窃取大量用户数据,包括VPN帐户凭据、游戏客户端、消息应用程序和网络浏览器中的信息。该恶意软件活动始于2024年11月,主要感染俄罗斯、白俄罗斯和哈萨克斯坦的用户。Arcane通过YouTube视频宣传游戏作弊和破解,诱骗用户下载受密码保护的档案,其中包含混淆的脚本和恶意可执行文件。该恶意软件还会为Windows Defender的SmartScreen过滤器添加排除项或完全关闭它。Arcane的广泛数据窃取行为使其在众多的信息窃取软件中脱颖而出,它可以窃取硬件和软件详细信息、应用程序帐户数据、配置文件以及网络浏览器中的登录信息、密码和cookie。此外,Arcane还可以捕获屏幕截图和已保存的Wi-Fi网络密码。感染Arcane信息窃取程序后果不堪设想,用户应时刻牢记下载未签名的盗版和作弊工具的风险,并完全避免使用这些工具。
https://www.bleepingcomputer.com/news/security/new-arcane-infostealer-infects-youtube-discord-users-via-game-cheats/
6. ClearFake利用reCAPTCHA和Turnstile分发恶意软件
3月19日,ClearFake是一个威胁活动集群,自2023年7月首次曝光以来,一直使用虚假的网络浏览器更新、reCAPTCHA或Cloudflare Turnstile验证等诱饵分发Lumma Stealer和Vidar Stealer等恶意软件。该活动采用EtherHiding技术和ClickFix策略,利用币安智能链合约获取有效载荷,使攻击链更具弹性。最新版本引入Web3功能来抵抗分析并加密HTML代码。截至2024年5月,ClearFake攻击已感染超过9,300个网站,2024年7月约有200,000名独立用户可能受到攻击。此外,超过100家汽车经销商网站受到ClickFix诱饵攻击,导致SectopRAT恶意软件部署。安全研究员指出,这些感染往往发生在第三方服务上,如LES Automotive的视频服务。ClearFake还与几起网络钓鱼活动相关,旨在推广恶意软件家族并进行凭证收集。随着社会工程活动变得越来越复杂,组织和企业必须实施强大的身份验证和访问控制机制来抵御攻击。
https://thehackernews.com/2025/03/clearfake-infects-9300-sites-uses-fake.html
京公网安备11010802024551号