WordPress 惡意軟體感染近 2,000 個網站,駭客濫用 Steam 平臺建立 C2 通訊管道
GoDaddy 揭露一起鎖定 wordpress 網站的惡意軟體活動。攻擊者把 C2 資料藏在 steam 社群個人資料留言區,藉由合法平臺信譽降低偵測率,再讓受感染網站載入外部 JavaScript 並維持後門。
攻擊鏈
- 攻擊者在 Steam 個人資料留言區放入以不可見 Unicode 字元隱藏的編碼酬載。
- WordPress 惡意程式連線取得留言內容並解碼出 C2 URL。
- 受感染網站載入外部惡意 JavaScript,可能影響訪客或導向後續攻擊。
- 惡意程式利用 POST 請求中的驗證 cookie 內容形成後門,允許遠端修改外掛與佈景主題 PHP 檔案。
風險與防禦意涵
此事件說明 C2 基礎設施不一定出現在可疑網域;攻擊者可濫用遊戲、社群或雲端合法服務作為控制資料儲存點。防禦上需結合外連行為分析、檔案完整性比對、不可見字元檢查,以及 WordPress 後臺檔案編輯權限控管。