恶意插件伪装“Modern Recent Posts”：针对WordPress管理员的新型浏览器更新骗局

我们最近调查了一起涉及WordPress网站的案件。客户报告称，其网站上持续出现虚假的弹出通知，警告他们更新浏览器（Chrome或Firefox），尽管他们的软件已经是最新版本。

此案尤为独特之处在于其针对性。这些虚假警报对公众访客不可见，仅当网站所有者登录到wp-admin仪表盘时才会出现。

在我们的调查中，我们找到了一个名为“Modern Recent Posts”的恶意插件，它伪装成一个无害的小部件插件。实际上，它会从外部域名下载并执行远程JavaScript代码。

过去我们已经见过几波类似的社会工程攻击，例如虚假的Java更新、虚假的Cloudflare验证码和Windows系统警报。然而，这次以wp-admin用户为目标的新活动，利用恶意插件实现了“大隐于市”。

支撑此次活动的恶意域名persistancejs[.]store，目前已在28个网站上被检测到，表明这是一个活跃且新兴的威胁。

感染留下了几个明显的迹象。

未经所有者知晓，安装了名为“Modern Recent Posts”的插件。
管理员页面内存在恶意脚本注入。
最重要的入侵指标（IoC）是用于获取恶意JavaScript的域名：hxxps://persistancejs[.]store/jsplug/plugin[.]php

以下是对虚假插件内部恶意行为的技术剖析。

该恶意软件旨在保持隐蔽。它不希望将有效载荷浪费在机器人、爬虫或非Windows用户（他们无法运行其投放的.exe文件）上。

它使用特定的函数is_windows_ua来检查访问者的User-Agent字符串，明确寻找“Windows”、“Win32”或“Win64”。

随后，注入逻辑将此检查与WordPress权限结合。它确保仅在满足以下条件时才触发有效载荷：

如果这些条件都满足，它将执行一个Base64编码的JavaScript有效载荷。

这是插件中最重要的恶意功能。插件向攻击者发送以下信息：

然后，它从攻击者的服务器下载一个base64编码的JavaScript有效载荷。插件将此脚本注入到管理员仪表盘中。攻击者提供的任何内容都将在浏览器中以管理员权限运行。

这正是虚假浏览器更新弹窗的显示方式。

该脚本还会生成一个虚假的Java更新弹窗。其设计旨在显得真实且紧急。

一旦被浏览器解码，该脚本会注入一个高优先级覆盖层以屏蔽屏幕。它使用经典的社会工程学语言，警告“需要关键Java更新”，并声称环境“严重过时”以防止“安全漏洞”。如果管理员点击“立即更新”按钮，脚本将触发从远程恶意域名secure-java-update[.]com强制下载文件。

该恶意软件包含一个关键的后端功能，用于处理远程更新和自我销毁。

它监听一个特殊的URL参数?upd=1。如果攻击者触发此URL，插件会递归删除其自身的本地文件和目录，然后立即从命令与控制（C2）服务器persistancejs[.]store下载一个全新的副本。

此功能允许攻击者更新其恶意软件版本、切换虚假警报的类型（例如，从Java更新切换到Chrome更新），或者在检测后有效抹除痕迹并重新安装后门。

该恶意软件的影响是双重的。首先，它通过安装后门破坏了WordPress环境，确保攻击者即使密码被更改后仍能维持对网站的访问权限。

其次，也是更危险的，它的目标是管理员的物理设备。通过诱骗管理员点击“Java更新”或“浏览器更新”按钮，攻击者旨在用远程访问木马（RAT）、勒索软件或信息窃取程序感染本地计算机。这可能导致管理员的个人数据及其管理的任何其他网站完全被入侵。

此次活动展示了对高价值目标——WordPress管理员——的高度针对性攻击。通过在wp-admin区域内部署虚假的浏览器更新弹窗，攻击者利用了与安全更新相关的信任感和紧迫感，以实现对用户本地计算机的毁灭性入侵。

请始终验证任何关键更新的来源。真正的软件更新将来自操作系统或官方应用程序本身，绝不会来自网站上未经请求的HTML覆盖层。