顾名思义,为男性销售各种产品的Just for Men公司的网站向其访问者提供恶意软件。我们的自动化系统检测到驱动下载攻击,推送RIG漏洞工具包,最终分发了一个窃取密码的木马。
在这个特定的攻击链中,我们可以看到justformen的主页[。com注入了混淆的代码。它属于eit运动这个门是用来执行重定向到利用套件的。EITest很容易识别(尽管它改变了URL模式),因为它在重定向机制中使用了Flash文件。
RIG EK现在已经取代中微子EK成为野外最常用的工具包。中微子EK,曾经是Angler的头号竞争者已经相对安静的最近.
我们在实验室里重放了这次攻击,如下面的视频所示。要了解更多细节和流量捕获,请向下滚动到本文的技术部分。
技术细节
我们向Just for Men的母公司Combe公司报告了这一事件。在我们收集流量数据和撰写这篇博客之间,我们注意到网站发生了变化。截至目前,该网站运行的是最新版本的WordPress扫描从苏库里而且似乎也没有受到任何损害。大多数网站感染都与内容管理系统(CMS)或其中一个插件过时有关。
以下是我们注意到的存档捕获和当前版本网站的至少一个不同之处:
Yoast的SEO插件已经从3.07版本(易受攻击)更新到3.5版本(当前版本)。有可能这就是感染媒介,但由于无法访问服务器日志,这只是个假设。
以下是网站还未被入侵时发生的情况:
有效负载哈希(Vawtrak木马):
9 af78ac26650d15ef64157f824fff1695b56edf5482ad08753e0c5e900fde58b
C2回调:
- 217.70.184.38
- 173.239.23.228
评论