恶意软件DollyWay入侵超20,000个WordPress网站

首页 > 安全钻研 > 安全传递 > 安全简讯

恶意软件DollyWay入侵超20,000个WordPress网站

颁布功夫 2025-03-20

1. 恶意软件DollyWay入侵超20,000个WordPress网站

3月19日，自2016年起，名为“DollyWay”的恶意软件已入侵全球超过20,000个WordPress网站，通过沉定向用户至恶意站点进行诓骗活动。DollyWay已历经屡次升级，选取先进的逃避、沉新习染和钱币化战术。最新版本（v3）作为大型诳骗沉定向系统，利用插件和主题缝隙攻击WordPress网站。截至2025年2月，DollyWay每月产生1000万次诓骗性展示，通过虚伪的约会、打赌、加密和抽奖网站盈利，利用VexTrio和LosPollos联属网络实现流量变现。该恶意软件通过流量疏导系统筛选访客，凭据其地位、设备类型和推荐起源沉定向流量。攻击者利用“wp_enqueue_script”剧本注入入侵网站，通过多阶段操作实现最终沉定向。DollyWay还具备自我再习染能力，确保其在每次页面加载时自动沉新习染网站，难以断根。它通过传布PHP代码至活动插件，并增长混合的恶意软件片段的WPCode插件副本实现悠久性。此表，DollyWay创建暗藏的治理员用户账户，进一步增长防御难度。GoDaddy已分享与DollyWay有关的攻击指标列表，以助防御此威胁，并将颁布更多细节揭示其基础设施和转变战术。

https://www.bleepingcomputer.com/news/security/malware-campaign-dollyway-breached-20-000-wordpress-sites/

2. 跟踪软件SpyX数据泄露，近200万用户纪录遭曝光

3月19日，一款消费级间谍软件SpyX于去年遭逢数据泄露，影响蕴含数千名苹果用户在内的近200万人。这次泄露事务可追忆至2024年6月，但此前未被报路，SpyX运营商也未通知其客户或指标用户。SpyX家族自2017年以来已产生25次数据泄露，批注消费级间谍软件行业持续激增，严沉威胁幼我隐衷。泄露数据蕴含197万条唯一帐户纪录及电子邮件地址，涉及SpyX及其克隆版本MSafely和SpyPhone。约40%的电子邮件地址已在“我被黑了”网站上出现过。这次泄露还罕见解揭示了SpyX若何对准Apple用户，泄露的缓存中蕴含约17,000组明文Apple帐户用户名和密码。数据真实性已得到部门受害者确认，有关凭证已提供给苹果。谷歌已撤下与SpyX活动有关的Chrome扩大法式。TechCrunch为Android用户提供了间谍软件移除指南，建议启用Google Play Protect、使用双沉身份验证等措施�；ふ驶О踩�。iPhone和iPad用户应查抄并删除不意识的设备，确保使用长而怪异的密码，并启用双沉身份验证。

https://techcrunch.com/2025/03/19/data-breach-at-stalkerware-spyx-affects-close-to-2-million-including-thousands-of-apple-users/

3. 宾夕法尼亚州教育工会数据泄露影响50万人

3月19日，宾夕法尼亚州最大的公共部门工会宾夕法尼亚州教育协会 (PSEA) 于2024年7月产生了一路安全事务，导致超过517,487名幼我的信息被盗，蕴含老师、支持人员、高档教育人员等教育专业人士。据PSEA泄漏，被盗信息可能蕴含幼我、财政和健全数据，如社会安全号码、支付卡信息、护照信息等。为应对这次事务，PSEA为受影响的幼我提供了免费的IDX信誉监控和身份复原服务，并建议他们监控财政账户和信誉汇报，设置诓骗警报或安全冻结。只管PSEA未明确指出攻击者身份，但Rhysida勒索软件团伙宣称对这次入侵掌管，并要求支付20比特币赎金。固然 PSEA 并未泄漏是否支付了赎金以预防数据泄露，但该勒索软件团伙已从其暗网泄密网站中删除了有关条款。CISA 和 FBI忠告称，Rhysida 的从属机构是针对各行各业组织提议的多起机遇性攻击的幕后黑手，而美国卫生与公家服务部 (HHS) 则以为 Rhysida与针对医疗保健组织的攻击有关。

https://www.bleepingcomputer.com/news/security/pennsylvania-education-union-data-breach-hit-500-000-people/

4. 乌克兰军方成为新一轮Signal网络垂钓攻击的指标

3月19日，乌克兰推算机应急反映幼组（CERT-UA）发出忠告，指出近期存在高度针对性的攻击，攻击者利用被入侵的Signal账户向国防工业公司和国度军队成员发送恶意软件。这些攻击始于本月，通过假装成会议汇报的档案进行，档案中蕴含一个PDF和一个可执行文件，后者被证实为DarkTortilla加密器/加载器，用于解密并执行远程接见木马Dark Crystal RAT (DCRAT)。CERT-UA已将这次活动在UAC-0200下进行跟踪，这是一个自2024年6月以来就利用Signal进行类似攻击的威胁集群。最近的攻击中，网络垂钓钓饵已更新，沉点转向与无人机、电子战系统和其他军事技术有关的主题。同时，Google威胁谍报幼组汇报称，俄罗斯黑客在滥用Signal的“链接设备”职能来未经授权接见感兴致的帐户。因而，CERT-UA建议Signal用户关关附件的自动下载，对所有新闻维持审慎，并定期查抄链接设备列表。此表，用户还应将通讯利用法式更新到最新版本，并启用双成分身份验证，以加强帐户�；�。

https://www.bleepingcomputer.com/news/security/ukrainian-military-targeted-in-new-signal-spear-phishing-attacks/

5. Arcane恶意软件窃取大量用户数据，传布方式不休演变

3月19日，新发现的Arcane信息窃取恶意软件在窃取大量用户数据，蕴含VPN帐户痛处、游戏客户端、新闻利用法式和网络浏览器中的信息。该恶意软件活动始于2024年11月，重要习染俄罗斯、白俄罗斯和哈萨克斯坦的用户。Arcane通过YouTube视频宣传游戏舞弊和破解，诱骗用户下载受密码�；さ牡蛋�，其中包费解淆的剧本和恶意可执行文件。该恶意软件还会为Windows Defender的SmartScreen过滤器增长排除项或齐全关关它。Arcane的宽泛数据窃取行为使其在多多的信息窃取软件中脱颖而出，它能够窃取硬件和软件具体信息、利用法式帐户数据、配置文件以及网络浏览器中的登录信息、密码和cookie。此表，Arcane还能够捕获屏幕截图和已保留的Wi-Fi网络密码。习染Arcane信息窃取法式后果不胜设想，用户应时刻服膺下载未署名的盗版和舞弊工具的风险，并齐全预防使用这些工具。

https://www.bleepingcomputer.com/news/security/new-arcane-infostealer-infects-youtube-discord-users-via-game-cheats/

6. ClearFake利用reCAPTCHA和Turnstile分发恶意软件

3月19日，ClearFake是一个威胁活动集群，自2023年7月初次曝光以来，一向使用虚伪的网络浏览器更新、reCAPTCHA或Cloudflare Turnstile验证蹬渍饵分发Lumma Stealer和Vidar Stealer等恶意软件。该活动选取EtherHiding技术和ClickFix战术，利用币安智能链合约获取有效载荷，使攻击链更具弹性。最新版本引入Web3职能来抵抗分析并加密HTML代码。截至2024年5月，ClearFake攻击已习染超过9,300个网站，2024年7月约有200,000名独立用户可能受到攻击。此表，超过100家汽车经销商网站受到ClickFix钓饵攻击，导致SectopRAT恶意软件部署。安全钻研员指出，这些习染往往产生在第三方服务上，如LES Automotive的视频服务。ClearFake还与几起网络垂钓活动有关，旨在推广恶意软件家族并进行凭证网络。随着社会工程活动变得越来越复杂，组织和企业必须执行壮大的身份验证和接见节造机造来招架攻击。

https://thehackernews.com/2025/03/clearfake-infects-9300-sites-uses-fake.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研