WordPress 惡意軟體感染近 2,000 個網站,駭客濫用 Steam 平臺建立 C2 通訊管道

GoDaddy 揭露一起鎖定 wordpress 網站的惡意軟體活動。攻擊者把 C2 資料藏在 steam 社群個人資料留言區,藉由合法平臺信譽降低偵測率,再讓受感染網站載入外部 JavaScript 並維持後門。

攻擊鏈

  1. 攻擊者在 Steam 個人資料留言區放入以不可見 Unicode 字元隱藏的編碼酬載。
  2. WordPress 惡意程式連線取得留言內容並解碼出 C2 URL。
  3. 受感染網站載入外部惡意 JavaScript,可能影響訪客或導向後續攻擊。
  4. 惡意程式利用 POST 請求中的驗證 cookie 內容形成後門,允許遠端修改外掛與佈景主題 PHP 檔案。

風險與防禦意涵

此事件說明 C2 基礎設施不一定出現在可疑網域;攻擊者可濫用遊戲、社群或雲端合法服務作為控制資料儲存點。防禦上需結合外連行為分析、檔案完整性比對、不可見字元檢查,以及 WordPress 後臺檔案編輯權限控管。

來源文章

相關頁面

  • wordpress — 受影響網站平臺
  • steam — 被濫用為 C2 隱藏點的合法平臺
  • godaddy — 揭露此活動的資安團隊所屬公司