我们有交谈关于SourceForge,特别是当它们与捆绑软件相关联时。
这一次,我们将看一看托管在SourceForge上的受感染的子域,该子域负责驱动下载攻击。
重定向的概述
第一个重定向位于一个JavaScript文件中:
hxxp: / / ydoqux.sourceforge.net/isoochamernd.js
这将调用以前的域名stat-count.dnsdynamic.com确认作为恶意活动的来源。这一个也不例外:
您可能会认出Flash Pack Exploit Kit的URL着陆。这里有一系列有趣的重定向,流程如下:
hxxp: / / yi4dtvjlvfvos6ffvnxxklf.alobakkal.net/index.php ? w = anM9MSZuc29sbHZpej1qdmRhY2FoJnRpbWU9MTQwODI1MDE1NDI5NzcyNDgyNiZzcmM9MjIwJnN1cmw9YW50aWRvci5uZXQmc3BvcnQ9ODAma2V5PTgxQkZCQUJFJnN1cmk9L2FkL3NvdXJjZWZvcmdlL2FkXzA5Ny8xNTkyMDE0NjYv hxxp: / / yi4dtvjlvfvos6ffvnxxklf622053f032259300cb84bd8aa84eae65a.alobakkal.net/index2.phphxxp: / / yi4dtvjlvfvos6ffvnxxklf.alobakkal.net/coder/index.php hxxp: / / yi4dtvjlvfvos6ffvnxxklf.alobakkal.net/coder/js/swfobject.js hxxp: / / yi4dtvjlvfvos6ffvnxxklf.alobakkal.net/coder/client_do.swf
最后一个URL是Flash文件,VT检测在这里.
另一个重定向引起了我们的注意:
hxxp: / / 5.45.74.48 /编码器/ gate.php吗?id = 0 opdpapop6pdpapoodjd6spdpdojprodprppo6j0djdi0dpkpaodj0djdi0dp0ojpdppjdd6ddjd0opdpap6prooodji0l0ijd0o6d6ajidkdkjtd0jtd0didjjtdkd6dpjddkdid0d0jddod6djjdp0pa
一个Flash文件它的类有一个特殊的名字:
有效载荷
hxxp: / / pikistude.mol-hit.com/coder/loadfla0515.php
有效负载(VT的结果)被Malwarebytes An必威平台APPti-Malware检测为Trojan.Agent.ED。
下面的视频显示了正在发生的漏洞,并被Malwarebytes反漏洞阻止:必威平台APP
我们在其他热门网站也发现了类似的Flash Pack漏洞工具包重定向。很难说这是否是一场更大运动的一部分,但目前它特别活跃。
驱动下载攻击是恶意软件感染的头号载体。合法网站经常成为恶意注入的受害者,窃取进入的流量,并将其发送到陷阱页面。几秒钟之内,未打补丁的电脑就会被恶意软件感染。
在保持您的计算机最新和运行最新版本的防病毒和反恶意软件的基础上,增加一层额外的保护,以防止利用,极大地减少了坏人所指望的攻击表面。
评论