恶意软件DollyWay入侵超20,000个WordPress网站

首页 > 清静研究 > 清静转达 > 清静简讯

恶意软件DollyWay入侵超20,000个WordPress网站

宣布时间 2025-03-20

1. 恶意软件DollyWay入侵超20,000个WordPress网站

3月19日，自2016年起，名为“DollyWay”的恶意软件已入侵全球凌驾20,000个WordPress网站，通过重定向用户至恶意站点举行诓骗运动。DollyWay已历经多次升级，接纳先进的逃避、重新熏染和钱币化战略。最新版本（v3）作为大型诈骗重定向系统，使用插件和主题误差攻击WordPress网站。阻止2025年2月，DollyWay每月爆发1000万次诓骗性展示，通过虚伪的约会、赌博、加密和抽奖网站盈利，使用VexTrio和LosPollos联属网络实现流量变现。该恶意软件通过流量指导系统筛选访客，依据其位置、装备类型和引荐泉源重定向流量。攻击者使用“wp_enqueue_script”剧本注入入侵网站，通过多阶段操作实现最终重定向。DollyWay还具备自我再熏染能力，确保其在每次页面加载时自动重新熏染网站，难以扫除。它通过撒播PHP代码至运动插件，并添加混淆的恶意软件片断的WPCode插件副本实现长期性。别的，DollyWay建设隐藏的治理员用户账户，进一步增添防御难度。GoDaddy已分享与DollyWay相关的攻击指标列表，以助防御此威胁，并将宣布更多细节展现其基础设施和转变战略。

https://www.bleepingcomputer.com/news/security/malware-campaign-dollyway-breached-20-000-wordpress-sites/

2. 跟踪软件SpyX数据泄露，近200万用户纪录遭曝光

3月19日，一款消耗级特工软件SpyX于去年遭遇数据泄露，影响包括数千名苹果用户在内的近200万人。此次泄露事务可追溯至2024年6月，但此前未被报道，SpyX运营商也未通知其客户或目的用户。SpyX家族自2017年以来已爆发25次数据泄露，批注消耗级特工软件行业一连激增，严重威胁小我私家隐私。泄露数据包括197万条唯一帐户纪录及电子邮件地点，涉及SpyX及其克隆版本MSafely和SpyPhone。约40%的电子邮件地点已在“我被黑了”网站上泛起过。此次泄露还有数地展现了SpyX怎样瞄准Apple用户，泄露的缓存中包括约17,000组明文Apple帐户用户名和密码。数据真实性已获得部分受害者确认，相关凭证已提供应苹果。谷歌已撤下与SpyX运动相关的Chrome扩展程序。TechCrunch为Android用户提供了特工软件移除指南，建议启用Google Play Protect、使用双重身份验证等步伐�；ふ驶寰�。iPhone和iPad用户应检查并删除不熟悉的装备，确保使用长而奇异的密码，并启用双重身份验证。

https://techcrunch.com/2025/03/19/data-breach-at-stalkerware-spyx-affects-close-to-2-million-including-thousands-of-apple-users/

3. 宾夕法尼亚州教育工会数据泄露影响50万人

3月19日，宾夕法尼亚州最大的公共部分工会宾夕法尼亚州教育协会 (PSEA) 于2024年7月爆发了一起清静事务，导致凌驾517,487名小我私家的信息被盗，包括西席、支持职员、高等教育职员等教育专业人士。据PSEA透露，被盗信息可能包括小我私家、财务和康健数据，如社会清静号码、支付卡信息、护照信息等。为应对此次事务，PSEA为受影响的小我私家提供了免费的IDX信用监控和身份恢复服务，并建议他们监控财务账户和信用报告，设置诓骗警报或清静冻结。只管PSEA未明确指出攻击者身份，但Rhysida勒索软件团伙声称对此次入侵认真，并要求支付20比特币赎金。虽然 PSEA 并未透露是否支付了赎金以避免数据泄露，但该勒索软件团伙已从其暗网泄密网站中删除了相关条目。CISA 和 FBI忠言称，Rhysida 的隶属机构是针对各行各业组织提倡的多起时机性攻击的幕后黑手，而美国卫生与公众服务部 (HHS) 则以为 Rhysida与针对医疗保健组织的攻击有关。

https://www.bleepingcomputer.com/news/security/pennsylvania-education-union-data-breach-hit-500-000-people/

4. 乌克兰军方成为新一轮Signal网络垂纶攻击的目的

3月19日，乌克兰盘算机应急反应小组（CERT-UA）发出忠言，指出近期保存高度针对性的攻击，攻击者使用被入侵的Signal账户向国防工业公司和国家军队成员发送恶意软件。这些攻击始于本月，通过伪装成聚会报告的档案举行，档案中包括一个PDF和一个可执行文件，后者被证实为DarkTortilla加密器/加载器，用于解密并执行远程会见木马Dark Crystal RAT (DCRAT)。CERT-UA已将此次运动在UAC-0200下举行跟踪，这是一个自2024年6月以来就使用Signal举行类似攻击的威胁集群。最近的攻击中，网络垂纶诱饵已更新，重点转向与无人机、电子战系统和其他军事手艺相关的主题。同时，Google威胁情报小组报告称，俄罗斯黑客正在滥用Signal的“链接装备”功效来未经授权会见感兴趣的帐户。因此，CERT-UA建议Signal用户关闭附件的自动下载，对所有新闻坚持审慎，并按期检查链接装备列表。别的，用户还应将通讯应用程序更新到最新版本，并启用双因素身份验证，以增强帐户�；�。

https://www.bleepingcomputer.com/news/security/ukrainian-military-targeted-in-new-signal-spear-phishing-attacks/

5. Arcane恶意软件窃取大宗用户数据，撒播方法一直演变

3月19日，新发明的Arcane信息窃取恶意软件正在窃取大宗用户数据，包括VPN帐户凭证、游戏客户端、新闻应用程序和网络浏览器中的信息。该恶意软件运动始于2024年11月，主要熏染俄罗斯、白俄罗斯和哈萨克斯坦的用户。Arcane通过YouTube视频宣传游戏作弊和破解，诱骗用户下载受密码�；さ牡蛋�，其中包括混淆的剧本和恶意可执行文件。该恶意软件还会为Windows Defender的SmartScreen过滤器添加扫除项或完全关闭它。Arcane的普遍数据窃取行为使其在众多的信息窃取软件中脱颖而出，它可以窃取硬件和软件详细信息、应用程序帐户数据、设置文件以及网络浏览器中的登录信息、密码和cookie。别的，Arcane还可以捕获屏幕截图和已生涯的Wi-Fi网络密码。熏染Arcane信息窃取程序效果不堪设想，用户应时刻切记下载未署名的盗版和作弊工具的危害，并完全阻止使用这些工具。

https://www.bleepingcomputer.com/news/security/new-arcane-infostealer-infects-youtube-discord-users-via-game-cheats/

6. ClearFake使用reCAPTCHA和Turnstile分发恶意软件

3月19日，ClearFake是一个威胁运动集群，自2023年7月首次曝光以来，一直使用虚伪的网络浏览器更新、reCAPTCHA或Cloudflare Turnstile验证等诱饵分发Lumma Stealer和Vidar Stealer等恶意软件。该运动接纳EtherHiding手艺和ClickFix战略，使用币安智能链合约获取有用载荷，使攻击链更具弹性。最新版本引入Web3功效来对抗剖析并加密HTML代码。阻止2024年5月，ClearFake攻击已熏染凌驾9,300个网站，2024年7月约有200,000名自力用户可能受到攻击。别的，凌驾100家汽车经销商网站受到ClickFix诱饵攻击，导致SectopRAT恶意软件安排。清静研究员指出，这些熏染往往爆发在第三方服务上，如LES Automotive的视频服务。ClearFake还与几起网络垂纶运动相关，旨在推广恶意软件家族并举行凭证网络。随着社会工程运动变得越来越重大，组织和企业必需实验强盛的身份验证和会见控制机制来抵御攻击。

https://thehackernews.com/2025/03/clearfake-infects-9300-sites-uses-fake.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究