JavaScript的注入引出技術詐騙
0×01 前言
在最近的惡意軟體的調查中,我們發現了一些有趣的混淆JavaScript代碼。此代碼偽裝成現在流行的插件AddThis social sharing的一部分,在URL命名約定和圖像文件中使用它。
惡意軟體最終將網站訪問者重定向到node.additionsnp[.]top,這個網站存在著可能對訪問者造成威脅的技術騙局。這種惡意軟體巧妙的隱藏了自己,網路管理員很難能識別它。
0×02 混淆的惡意圖像文件
惡意代碼嵌入在WordPress核心文件的末尾
wp-includes/js/jquery/ui/datepicker.min.js
攻擊者使用onblur函數載入惡意內容,窗口失去焦點三秒後,它將使用replace函數來解密模糊的payload URL。 這是通過在字元串中隨機位置添加0到5的數字來編碼的,如下所示:
22c1n4d41.3s27-44a2d11d1t0hi4s3.0t1o2p001
在從字元串中刪除0-5之間的所有數字後,我們看到它從以下位置的URL獲取payload:
//cnd.s7-addthis[.]top
惡意軟體還會在字元串前添加http和附加#ad.png,從而生成PNG圖像文件的URL。
0×03 一個令人信服的假圖像
該惡意軟體很狡猾,如果你直接去訪問PNG文件,會返回一個404頁面。這很可能是攻擊者基於訪問者瀏覽器的 user-agent字元串進行了限制訪問。我們可以使用curl工具去偽造一下,欺騙它正常的進行工作。
我能夠訪問假的PNG文件。它甚至包含正確的頭信息和魔術位元組,以將文件格式標識為PNG圖像:
該文件還包含一些二進位代碼,它通過瀏覽器渲染一個實際的圖像(它看起來像一個真正的AddThis圖標)。 這個額外的步驟使得它更難被網站所有者識別為惡意軟體:
隱藏在圖像文件中的惡意代碼在惡意軟體業務中並不是什麼新東西 – 我們已經看到了這些年來不同的技術。在PNG文件的END部分之後添加的惡意代碼不會破壞圖像。
圖像文件內容,帶有惡意有效載荷在末尾,由我們上面提到的腳本解析和執行:
eval(y.responseText.split("###")[1]);
隱藏函數用於將瀏覽器重定向到URL:
hxxp://node.additionsnp[.]top/?aff=8007001
0×04 重定向到技術詐騙
此頁面檢查訪問者的IP地址和瀏覽器,使用下面的腳本將不符合的訪問者返回到上一頁面:
window.onload=history.back();
對於搜索引擎的user-agents(例如Googlebot),此頁面返回404 Not Found錯誤。
但是,如果訪問者在啟用JavaScript的Windows上使用瀏覽器,並且使用美國或加拿大IP,則此頁面將顯示帶有典型技術詐騙警告的彈出窗口。這些騙子試圖說服受害者,他們的計算機感染了惡意軟體,並緊急發布一些免費的「幫助台」號碼來解決這個問題。
如果受害者呼叫這些號碼,騙子將連接到受害者的計算機,然後自願清除錯誤日誌,並刪除不存在的惡意軟體 – 換取幾百美元。
訪問受害者的計算機也可以使騙子安裝一些額外的間諜軟體。 有時,騙局頁面甚至可能會請求您的Windows用戶名和密碼(as reported in this MalwareBytes thread),這可能有助於感染受害者的計算機。
0×05 Source and Additional Domains
此惡意軟體廣告使用位於貝里斯的IP地址的伺服器,特別是在俄羅斯和烏克蘭組織註冊的80.87.205.233和185.93.185.243。
我們發現有更多的網域與此惡意軟體廣告系列相關聯:
wine.industrialzz.topone.industrialzz.topweb.machinerysc.topsub.contentedy.topcheck-work-18799.topasp.refreshmentnu.topget.resemblanceao.bidsip.discoveredzp.bid
0×06 總結
有這麼多域用於託管詐騙內容,這似乎是這些唯利可圖黑帽子的附屬公司。這個惡意軟體被注入到WordPress核心文件,與其他代碼混合,並欺騙熟悉的合法服務,以隱藏其軌跡,使其很難被發現。
簡單搜索你的網站文件和資料庫去發現惡意域不會有任何作用,因為這可以很容易混淆。
為了快速檢測您的網站文件的未經授權的更改,您可以設置一個監控服務,將您的文件與已知的良好狀態進行比較。我建議使用WordPress的sucuri-scanner插件,準備好對安全事件採取行動,可以讓您在訪問者受到這些欺騙行為傷害之前採取行動。
*本文作者:zusheng,參考來源:
sucuri
,轉載請註明來自Freebuf.COM
※Cobalt Strike之DNS Beacon使用記錄
※伊朗黑客對中東發起名為Magic Hound的網路間諜行為
TAG:FreeBuf |
※詐騙新招式:陌生FaceTime 讓你落入社工陷阱
※蘋果發布新iPad Pro!現在可買!iOS 11新系統驚艷:Siri能英譯中、屏蔽詐騙簡訊……
※iOS 11亮點:Apple Pay轉賬,識別詐騙
※騰訊手機管家提醒:陌生FaceTime請求存在詐騙風險
※蘋果App Store被不法者鑽空子,植入大量詐騙應用
※父親涉詐騙 Wonder Girls譽恩事業愛情皆受挫
※維基解密CIA Angelfire項目;谷歌提供的「比特幣混合」教程是釣魚詐騙
※為了更有效率地偷錢,Android root木馬開始試水簡訊扣費詐騙
※當心詐騙郵件: 貌似來自Equitalia實則是陷阱
※用區塊鏈技術杜絕詐騙,DAO.Casino 欲打造全新的線上博彩生態系統
※黑客Only_guest 親身講述的三個「非主流詐騙」故事 | FIT 2017專題
※台灣一企業名被詐騙集團盜用:Facebook亞馬遜疑中招
※警惕!新的釣魚詐騙盯上了你的Apple ID
※通過身份鑒別預防手機詐騙,Next Caller獲500萬美元A輪融資
※WonderGirls:坑女兒!韓星譽恩的父親詐騙1.2億 不知如何償還
※警惕以「Facetime來電」為手段實施詐騙案事件頻發的預警
※都是套路:WannaCry病毒界面被詐騙者用作新的釣魚手段
※自殺程序員蘇享茂的WePhone是詐騙軟體么?
※Facebook出現黑客詐騙,名人加你為好友?不存在的,留學黨警惕!