安全厂商Sucuri发现，近日Wordpress用户遭冒充Cloudflare的DDoS保护消息攻击，诱使他们下载窃密或绑架计算机的远程访问木马（trojan access trojan，RAT）程序。

上网时经常可看见DDoS防护页面，这一般是和网页防火墙（WAF）或CDN服务厂商检测网站访客是真人，还是分布式拒绝服务（DDoS）攻击或其他机器人程序有关。一般情形下，DDoS防护网页是用户在前往某网页途中看到执行检查，或是提出技能测试问题，对用户只是有点烦，但没有什么大影响。

但是Securi近日发现一波JavaScript注入攻击特别锁定Wordpress网站，让访问这些网站的用户浏览器跳出假的Cloudflare的DDoS防护通知要求输入网页验证码，同时，用户计算机会被下载恶意.iso文件。受害用户会被要求打开该.iso文件以取得“验证码”。一旦打开，这个档会显示一组可供输入的验证码。

图片来源／Sucuri

但研究人员指出，这个.iso文件其实是RAT文件。根据MalwareBytes研究人员Jerome Segura分析，这个名为NetSupport RAT的恶意程序和FakeUpdates/SocGholish有关，一般是在勒索软件传播前对受害者进行计算机调查。这个ISO档内有冒充执行文件的捷径，可从另一个纯文本档执行PowerShell。此外，它还在用户计算机安装RaccoonStealer，研究人员说它在受害计算机上可以做很多事，像是搜集社群网站或银行帐密、触发勒索软件、绑架用户计算机成为恶意网络一员、勒索计算机持有人、或是窃听、监看用户隐私。

有至少13家安全品牌产品侦测出这个恶意程序。

安全厂商指出，这突显网页安全的重要性，也需要用户上网时保持警戒心。研究人员呼吁网站管理员应将所有软件更新到最新版本、使用强密码、加装防火墙，管理员控制台应激活2FA，并部署文件防护监控方案。

针对一般用户，厂商则提醒应养成良好安全习惯，不要随意打开文件，计算机上的杀毒软件及浏览器等软件应升级到最新版，并激活2FA，浏览器也可考虑封锁JavaScript。