JavaScript的注入引出技術詐騙

0×01 前言

在最近的惡意軟體的調查中，我們發現了一些有趣的混淆JavaScript代碼。此代碼偽裝成現在流行的插件AddThis social sharing的一部分，在URL命名約定和圖像文件中使用它。

惡意軟體最終將網站訪問者重定向到node.additionsnp[.]top，這個網站存在著可能對訪問者造成威脅的技術騙局。這種惡意軟體巧妙的隱藏了自己，網路管理員很難能識別它。

0×02 混淆的惡意圖像文件

惡意代碼嵌入在WordPress核心文件的末尾

wp-includes/js/jquery/ui/datepicker.min.js

攻擊者使用onblur函數載入惡意內容，窗口失去焦點三秒後，它將使用replace函數來解密模糊的payload URL。 這是通過在字元串中隨機位置添加0到5的數字來編碼的，如下所示：

22c1n4d41.3s27-44a2d11d1t0hi4s3.0t1o2p001

在從字元串中刪除0-5之間的所有數字後，我們看到它從以下位置的URL獲取payload：

//cnd.s7-addthis[.]top

惡意軟體還會在字元串前添加http和附加#ad.png，從而生成PNG圖像文件的URL。

0×03 一個令人信服的假圖像

該惡意軟體很狡猾，如果你直接去訪問PNG文件，會返回一個404頁面。這很可能是攻擊者基於訪問者瀏覽器的 user-agent字元串進行了限制訪問。我們可以使用curl工具去偽造一下，欺騙它正常的進行工作。

我能夠訪問假的PNG文件。它甚至包含正確的頭信息和魔術位元組，以將文件格式標識為PNG圖像：

該文件還包含一些二進位代碼，它通過瀏覽器渲染一個實際的圖像（它看起來像一個真正的AddThis圖標）。 這個額外的步驟使得它更難被網站所有者識別為惡意軟體：

隱藏在圖像文件中的惡意代碼在惡意軟體業務中並不是什麼新東西 – 我們已經看到了這些年來不同的技術。在PNG文件的END部分之後添加的惡意代碼不會破壞圖像。

圖像文件內容，帶有惡意有效載荷在末尾，由我們上面提到的腳本解析和執行：

eval(y.responseText.split("###")[1]);

隱藏函數用於將瀏覽器重定向到URL：

hxxp://node.additionsnp[.]top/?aff=8007001

0×04 重定向到技術詐騙

此頁面檢查訪問者的IP地址和瀏覽器，使用下面的腳本將不符合的訪問者返回到上一頁面：

window.onload=history.back();

對於搜索引擎的user-agents（例如Googlebot），此頁面返回404 Not Found錯誤。

但是，如果訪問者在啟用JavaScript的Windows上使用瀏覽器，並且使用美國或加拿大IP，則此頁面將顯示帶有典型技術詐騙警告的彈出窗口。這些騙子試圖說服受害者，他們的計算機感染了惡意軟體，並緊急發布一些免費的「幫助台」號碼來解決這個問題。

如果受害者呼叫這些號碼，騙子將連接到受害者的計算機，然後自願清除錯誤日誌，並刪除不存在的惡意軟體 – 換取幾百美元。

訪問受害者的計算機也可以使騙子安裝一些額外的間諜軟體。 有時，騙局頁面甚至可能會請求您的Windows用戶名和密碼（as reported in this MalwareBytes thread），這可能有助於感染受害者的計算機。

0×05 Source and Additional Domains

此惡意軟體廣告使用位於貝里斯的IP地址的伺服器，特別是在俄羅斯和烏克蘭組織註冊的80.87.205.233和185.93.185.243。

我們發現有更多的網域與此惡意軟體廣告系列相關聯：

wine.industrialzz.topone.industrialzz.topweb.machinerysc.topsub.contentedy.topcheck-work-18799.topasp.refreshmentnu.topget.resemblanceao.bidsip.discoveredzp.bid

0×06 總結

有這麼多域用於託管詐騙內容，這似乎是這些唯利可圖黑帽子的附屬公司。這個惡意軟體被注入到WordPress核心文件，與其他代碼混合，並欺騙熟悉的合法服務，以隱藏其軌跡，使其很難被發現。

簡單搜索你的網站文件和資料庫去發現惡意域不會有任何作用，因為這可以很容易混淆。

為了快速檢測您的網站文件的未經授權的更改，您可以設置一個監控服務，將您的文件與已知的良好狀態進行比較。我建議使用WordPress的sucuri-scanner插件，準備好對安全事件採取行動，可以讓您在訪問者受到這些欺騙行為傷害之前採取行動。

*本文作者：zusheng，參考來源：

sucuri

，轉載請註明來自Freebuf.COM