作者:趋势科技欺诈分析师 Karla Agregado
趋势科技收到报告说有大量沦陷的WordPress网站会导致CRIDEX中毒。为了引诱用户访问这些恶意网站,网络犯罪份子会假冒成知名发件人(例如美国商业促进局和LinkedIn等)发送垃圾邮件。这些垃圾邮件会利用社会工程学陷阱诱使不知情的用户点击电子邮件中的链接。
点击这样的链接后会被引导至大量被攻破的WordPress网站,用户最终将会遭遇到Blackhole漏洞攻击包,该攻击包会针对CVE-2010-0188和CVE-2010-1885漏洞发起攻击。趋势科技以将其命名为JS_BLACOLE.IC。
一旦用户点击上图所示的网址,就会被重定向到包含上述漏洞攻击包的网站。
根据趋势科技的分析,通过这个漏洞进行的攻击会在目标电脑上安装WORM_CRIDEX.IC。该蠕虫病毒一旦执行,就会访问网站http://{RandomURL}.ru:8080/rwx/B2_9w3/in/,并通过该网站获取最新的配置信息。
WORM_CRIDEX.IC还会利用域生成算法(DGA)自动生成多个随机域名。这是一种常备网络犯罪分子用于躲避执法单位,以及防止殭尸网络被强行关闭的技术。这个恶意软件还会通过DGA生成的域名下载所需的配置信息。根据静态分析,目前该配置信息可用于执行文件、删除文件/文件夹,并能从凭证储存区中取得保存的凭据。但在我们对此进行测试时已经无法下载配置信息,因此暂时也就无法生效。
趋势科技主动式云端截毒服务可以保护用户免受此类威胁的攻击,我们已经封锁了这个攻击的相关网址,并且能检测出所有相关文件。但为了避免访问这些沦陷的网站,用户在点击可疑邮件的链接时一定要三思而后行,同时务必要先确认邮件是否正常,特别是那些号称来自知名机构的邮件。
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载/论坛/分享
官方微博—拿礼品/分享最新IT资讯