潜在的不受欢迎的程序,也被称为PUPs,仍然是一个真正的麻烦。最近的一次博客由Will Dormann在CERT.org上发表的文章显示了这种潜伏在网络每个角落的应用的普遍性:搜索引擎结果,软件门户,弹出窗口,广告,等等。
骗人的手段
下面是一个弹出警告的例子:
文字是这样写的:更新推荐!建议您安装该软件,以确保您的浏览器是最新版本。请更新继续。”
下面的页面显示我们的浏览器(Internet Explorer)可能已经过时,并敦促我们下载一个程序来检查过时的软件。
值得注意的是,这个网页完全是不请自来的,实际上非常具有误导性。隐藏在页面底部的免责声明揭示了更多关于这是关于什么:
”UpdateNowPro.com正在分发软件更新程序。空气安装程序是一个安装管理器,它将管理所选软件的安装。除了管理您选择的软件的安装,这个安装管理器还会为您可能感兴趣的其他自由软件提出建议。附加软件可能包括工具栏、浏览器附加组件、游戏应用程序、杀毒应用程序和其他类型的应用程序。您不需要安装任何额外的软件来接收选定的软件。在Windows的“添加/删除程序”中,您可以随时完全删除该程序。在下载时,您接受条款和隐私政策。”
换句话说,他们想让你下载的程序捆绑了其他应用程序,某物我们都太清楚了。
试图关闭页面会弹出另一个警告:
我们可以和广告商争辩说,这些做法是不对的,直到我们气得脸色发青。但这里有一个陷阱:当页面说我们的系统可能有风险时,我们正在无声地被一个免下车下载感染!
从PUP到开发套件
以下Fiddler (web调试器)捕获被记录在:2014-06-30 18:30 PT。它显示了坏人如何利用大型基础设施来隐藏潜在的不需要的程序背后的恶意重定向。
hxxp://rvzr-a.akamaihd.net/sd/apps/fusionx/0.0.4.html?aff=1700-1043 hxxp://www.likemagicbox.com/fusionx/www/delivery/afr.php?zoneid=486&cb=6065978317 hxxp://classic.flowershopprescott.com/assets/js/jquery-1.3.1.min.js?ver=1.27.8660 hxxp://draft.traveltube.biz/d36c829bovoym7.html
一些用户被重定向到一个开发工具包,同时收到相同的软件更新页面。这是一个非常狡猾的攻击,涉及许多参与者旋转域名更难识别(点击放大):
域likemagicbox.com在这个例子中,注册于2014-06-30,同一天它开始被用于恶意软件活动:这不是简单的巧合!
流量分析
第一个URLakamaihd.net有一个外部JavaScript包含:
JavaScript包含一个复杂的变量,它具有与广告类型和访问者位置相对应的各种标识符。更重要的是,我们看到iFrame重定向到一个滥用/串谋的服务器:
一旦在这个URL上有两个不同的广告重定向(注意雅虎广告!)这里有一个有趣的代码片段:
如果(document.cookie.indexOf (_epel) = = 1) {var page_object = document.createElement(“iframe”);
这将检查用户的计算机是否有一个名为_epel只有当它不存在时,它才允许创建一个次要的(恶意的)iframe。为了防止相同的用户再次被重定向到它,在退出之前,另一段代码创建了上述cookie:
文档。饼干= " _epel =读;
这个动态创建的iframe每小时使用简单的子域生成算法(DGA)对字母排序的关键字进行旋转:
网址,日期,注册人co. toaststedroostercafe.com,周四7月3日13:04,Robert Maynard coa. toaststedroostercafe。NET,Thu 7月3日14:03,Robert Maynard coas.TOASTGUYS.COM,Thu 7月3日15:04,Robert Maynard coach.TOASTHOUSE.COM,Thu 7月3日16:06,?toastmarket.com,Thu jull 3 17:02,Robert Maynard coaching.TOASTKITCHEN.COM,Thu jull 3 18:17,Robert Maynard coal.TOASTMARKET.COM,Thu jull 3 19:22,Robert Maynard coals.TSTKITCHEN.COM,Thu jull 3 20:12,?7月3日星期四21:07,?coastal.2NDAMENDMENTVOTERS。ORG,Thu jul3 22:02,?coat.AIMINSINC。INFO,Thu 7月3日23:07,Kurt Grashaw coating. american brothers sinarm.com,Fri 7月4日00:07,Kurt Grashaw coating. analehshow.com,Fri 7月4日01:12,Kurt Grashaw cobra.CCNAXUSCONSTRUCTION.COM,Fri 7月4日02:02,Kurt Grashaw coc.GRANBYSOCCER.COM,Fri 7月4日03:12,Kurt Grashaw cock.LOOKINGTOVOLUNTEER。ORG, 7月4日星期五04:02,Kurt Grashaw
许多根域属于同一个人。坏人正在枚举被入侵的账户,并劫持他们的DNS记录。
恶意iframe被插入其中jquery(一个非常流行的JavaScript库)文件,如:
{subdomain.domain} /资产/ js / jquery-1.3.1.min.js ?版本= 1.27.8660
在URL被使用一小时后,它将被丢弃,并且子域不再响应。
您可能已经认识了核包开发工具包的登陆页面的URL:
页面加载Java利用(cve - 2013 - 2465):
和一个闪光利用(cve - 2014 - 0515):
两个恶意软件载荷随后被丢弃(#1,#2)被Malwarebytes反恶意软件检测为Spyware.Zbot.V必威平台APPXGen。
分开的想法
用类似的重定向方法记录的事件可以追溯到2014年5月记录在这个安全博客里。
我们已经向Akamai的虐待部门报告了这一事件,以便他们能够立即采取行动对付这些坏人。
评论