专栏首页FreeBufJavaScript的注入引出技术诈骗

JavaScript的注入引出技术诈骗

0×01 前言

在最近的恶意软件的调查中,我们发现了一些有趣的混淆JavaScript代码。此代码伪装成现在流行的插件AddThis social sharing的一部分,在URL命名约定和图像文件中使用它。

恶意软件最终将网站访问者重定向到node.additionsnp[.]top,这个网站存在着可能对访问者造成威胁的技术骗局。这种恶意软件巧妙的隐藏了自己,网络管理员很难能识别它。

0×02 混淆的恶意图像文件

恶意代码嵌入在WordPress核心文件的末尾

wp-includes/js/jquery/ui/datepicker.min.js

攻击者使用onblur函数加载恶意内容,窗口失去焦点三秒后,它将使用replace函数来解密模糊的payload URL。 这是通过在字符串中随机位置添加0到5的数字来编码的,如下所示:

22c1n4d41.3s27-44a2d11d1t0hi4s3.0t1o2p001

在从字符串中删除0-5之间的所有数字后,我们看到它从以下位置的URL获取payload:

//cnd.s7-addthis[.]top

恶意软件还会在字符串前添加http和附加#ad.png,从而生成PNG图像文件的URL。

0×03 一个令人信服的假图像

该恶意软件很狡猾,如果你直接去访问PNG文件,会返回一个404页面。这很可能是攻击者基于访问者浏览器的 user-agent字符串进行了限制访问。我们可以使用curl工具去伪造一下,欺骗它正常的进行工作。

我能够访问假的PNG文件。它甚至包含正确的头信息和魔术字节,以将文件格式标识为PNG图像:

该文件还包含一些二进制代码,它通过浏览器渲染一个实际的图像(它看起来像一个真正的AddThis图标)。 这个额外的步骤使得它更难被网站所有者识别为恶意软件:

隐藏在图像文件中的恶意代码在恶意软件业务中并不是什么新东西 – 我们已经看到了这些年来不同的技术。在PNG文件的END部分之后添加的恶意代码不会破坏图像。

图像文件内容,带有恶意有效载荷在末尾,由我们上面提到的脚本解析和执行:

eval(y.responseText.split('###')[1]);

隐藏函数用于将浏览器重定向到URL:

hxxp://node.additionsnp[.]top/?aff=8007001

0×04 重定向到技术诈骗

此页面检查访问者的IP地址和浏览器,使用下面的脚本将不符合的访问者返回到上一页面:

window.onload=history.back();

对于搜索引擎的user-agents(例如Googlebot),此页面返回404 Not Found错误。

但是,如果访问者在启用JavaScript的Windows上使用浏览器,并且使用美国或加拿大IP,则此页面将显示带有典型技术诈骗警告的弹出窗口。这些骗子试图说服受害者,他们的计算机感染了恶意软件,并紧急发布一些免费的“帮助台”号码来解决这个问题。

如果受害者呼叫这些号码,骗子将连接到受害者的计算机,然后自愿清除错误日志,并删除不存在的恶意软件 – 换取几百美元。

访问受害者的计算机也可以使骗子安装一些额外的间谍软件。 有时,骗局页面甚至可能会请求您的Windows用户名和密码(as reported in this MalwareBytes thread),这可能有助于感染受害者的计算机。

0×05 Source and Additional Domains

此恶意软件广告使用位于伯利兹的IP地址的服务器,特别是在俄罗斯和乌克兰组织注册的80.87.205.233和185.93.185.243。

我们发现有更多的网域与此恶意软件广告系列相关联:

wine.industrialzz.topone.industrialzz.topweb.machinerysc.topsub.contentedy.topcheck-work-18799.topasp.refreshmentnu.topget.resemblanceao.bidsip.discoveredzp.bid

0×06 总结

有这么多域用于托管诈骗内容,这似乎是这些唯利可图黑帽子的附属公司。这个恶意软件被注入到WordPress核心文件,与其他代码混合,并欺骗熟悉的合法服务,以隐藏其轨迹,使其很难被发现。

简单搜索你的网站文件和数据库去发现恶意域不会有任何作用,因为这可以很容易混淆。

为了快速检测您的网站文件的未经授权的更改,您可以设置一个监控服务,将您的文件与已知的良好状态进行比较。我建议使用WordPress的sucuri-scanner插件,准备好对安全事件采取行动,可以让您在访问者受到这些欺骗行为伤害之前采取行动。

*本文作者:zusheng,参考来源:sucuri,转载请注明来自Freebuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:zusheng

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-02-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 针对“DorkBot”的样本分析

    概述 DorkBot是一种已知的恶意软件,最早可以追溯到2012年。它被认为通过社会媒体链接、即时消息应用程序或受感染的可移动设备等多种方式进行传播。尽管它是众...

    FB客服
  • 揭秘地下黑客论坛最流行的恶意软件和黑客工具

    通过对Recorded Future平台索引的所有地下黑客论坛分析2018年5月至2019年5月期间超过390万个帖子,Insikt Group确定了地下黑客论...

    FB客服
  • 世界上最著名也最危险的APT恶意软件清单

    本文尝试列举出由各国军事情报处的网络安全部门开发的最危险、最有效也是最闻名的恶意软件清单,其中有些可以说早已盛名在外,另一些可能你还没听过……然而这正是它最危险...

    FB客服
  • 恶意软件命名与描述规范研究

    近两年来,恶意软件大肆传播,其复杂度也越来越高,给网络安全造成了巨大威胁,所有行业更加重视恶意软件的预防、检测、取证、关联分析等工作,国家也颁布相关法律法规针对...

    绿盟科技研究通讯
  • 揭秘地下黑客论坛最流行的恶意软件和黑客工具

    通过对Recorded Future平台索引的所有地下黑客论坛分析2018年5月至2019年5月期间超过390万个帖子,Insikt Group确定了地下黑客论...

    FB客服
  • 新型 ATM 恶意软件 ATMJackpot 出现,专家预测即将在野外现身

    Netskope 威胁研究实验室发现了一种新的 ATM 恶意软件 ATMJackpot。该恶意软件似乎源于香港,并于 2018 年 3 月 28 日在二进制文件...

    周俊辉
  • 世界上最著名也最危险的APT恶意软件清单

    本文尝试列举出由各国军事情报处的网络安全部门开发的最危险、最有效也是最闻名的恶意软件清单,其中有些可以说早已盛名在外,另一些可能你还没听过……然而这正是它最危险...

    FB客服
  • “Simplocker”Android恶意软件会锁住用户数据并勒索赎金

    最近,一款名叫“Simplocker”的Android恶意软件在乌克兰地区流传了开来。据安全公司ESET表示,该恶意软件会扫描受害人存储卡中某些...

    安恒信息
  • 对“利比亚天蝎”网络间谍活动的分析调查(附样本下载)

    利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 ? 概要 8月初...

    FB客服
  • 新型word文档恶意勒索软件出现,每日可感染达十万台计算机

    如果你最近收到一封邮件,而这封邮件里面包含一个微软word文档,那么你就需要小心了。 微软宏病毒归来 恶意攻击者会开展社会工程学攻击,或通过发送引人注目的垃圾邮...

    FB客服

扫码关注云+社区

领取腾讯云代金券