研究人员透露，一些被入侵的WordPress网站正在不知不觉中传播潜在的不需要的应用程序(pua)，以及间谍软件。

间谍软件和pua通过欺诈的浏览器插件和伪造的Flash更新消息发送给用户。被黑的WordPress网站基本上会将用户重定向到被间谍软件感染的统一资源定位器(url)。

Zscaler的研究人员发现了这个秘密活动，他们透露这个活动从8月的第一周就开始了。间谍软件和pua已经影响了2万多名用户，并被发送到2000多个WordPress网站。

研究小组还透露，大多数受感染的网站运行的是当前版本4.3.1的WordPress CMS。然而，据信这些网站可能在更新到最新版本之前就已经被攻破了。

WordPress支持论坛的用户以及Dynamoo博客的Conrad Longmore也证实了这些攻击。

“我们最近一直在处理几起病毒攻击。我遇到了一种病毒，该病毒没有出现在Wordfence扫描中，也没有在谷歌或我自己或BlueHost执行的任何其他病毒扫描中搜索到它。”指出WordPress论坛上的用户。

“从上周开始，我就看到了一些利用拉脱维亚VPS hosting托管服务的注入攻击。这些今天还在继续。”揭示了朗莫尔在博客中写道。

那么恶意软件是如何开始感染周期的呢?

“当用户访问一个被攻破的WordPress网站时，感染就开始了。”说Zscaler还提供了受感染页面显示的JavaScript代码的截图。

该代码包含一个iframe，其中提供了黑客的服务器位置信息。据Zscaler称，黑客正在收集用户的Adobe Flash Player版本、时区和系统时间戳等数据。

这有什么潜在的威胁?

一旦攻击者获得了用户系统上的数据，他们就会连续向用户发送几个快速重定向到一个网页。在这里，大多数情况下，用户被要求更新他们的Adobe Flash Player或安装相同的软件，这基本上是一个伪装的间谍软件。

如果用户上钩了，那么攻击者将向他们的系统发送一个.exe文件，该文件将安装修改后的Win32。InstallCore PUA。

一旦用户安装了这个PUA，他们将被重定向到真正的Adobe站点。在这里，用户被告知Flash Player的安装失败。因此，用户被要求尝试重新安装，但这一次从真正的来源。

在某些情况下，攻击者还可能要求用户安装欺诈性的浏览器附加组件，而不是Adobe Flash Player。

虽然这些是分钟级广告软件pua和间谍软件，但它们仍然是危险的，因为它们可以作为黑客向受感染的机器注入严重恶意软件的潜在网关。

研究人员透露，攻击背后的IPS地址(91.226.33.54)属于拉脱维亚的VPS托管服务。

图片来源:Serge Kij |Flickr