在我们的恶意软件调查期间,我们经常学习Bad Guys尝试绕过我们的新技术或方式。但有时候,我们也体验文化差异或发现一些关于人或国家的新事物。

今天是这样的案例,核利用套件向我们带来了一点地理课,其中将我们带到克罗地亚。

克罗地亚我们的旅程从“Slobodna Dalmacija”(“免费达尔马提亚”英文),这是一份成立于1943年的热门克罗地亚报纸。

达尔马提亚是四个克罗地亚地区之一,其他人是克罗地亚适当,斯拉沃尼亚和伊斯特里亚。

根据维基百科,“第一个问题斯洛博迪亚达尔马加里亚由1943年6月17日发表于1943年6月17日,在洞穴的洞穴中,这是一座靠近分裂的山脉,这是由意大利军队在此期间被意大利军队占据的。本文后来在各个地点发表,直至分裂于1944年10月26日解放。“

从那时起,该报的流行度并拥有在线版本,因为大多数报纸都这样做了。

slobodnadalmacija.hr(除非您在虚拟机中,否则不要访问是一个非常受欢迎的网站,在克罗地亚排名第21,估计每月3.2米根据MatervingWeb.

考虑到2011年人口普查在克罗地亚计算了一点超过4米的居民,这个网站的流量非常高。

这将我们带来了我们的主题,即在本网站上运行的广告服务器已受到损害,并将访问者重定向到核利用套件。

newfiddler.

主要罪魁祸首是报纸自己的广告服务器,它似乎被黑了:

hxxp://ads.slobodnadalmacija.com/revive/www/delivery/spcjs.php?id = 1

这与正常的恶意攻击略有不同,我们看到恶意代码从第三方加载。

在这种情况下,服务器本身已经受到损害,这是一个更棘手的情况,因为它需要完全取证调查“如何,何时,在哪里等等”。

必威平台APPMalwarebytes反利用用户已受到保护的影响:

MBAE.

从该攻击下载的恶意软件被检测为“Trojan.Glupteba.“ 经过必威平台APPMalwarebytes反恶意软件

Glupteba.通过核ek是标记Windigo.帮派(感谢'你知道你是谁'链接两者)。受感染的计算机成为大僵尸网络的一部分,其主要任务是发送垃圾邮件。

执行后,有效载荷连接到87.107.133.83,IRAN中的IP地址很可能是其命令和控制服务器。

我们通过电子邮件向自己的舌头通知了克罗地亚网站的所有者(谢谢Stefán!),并希望他们能够很快将网站恢复到干净的状态。