10月15日,我们开始看到一种新的重定向模式中微子开发工具包通过破坏网站。真正引起我们注意的是一个用于注入指向开发工具登录页面的iframe的文件名。讽刺的是,它被称为neitrino.php.
我们最初认为这是一个新手的错误,是安全研究人员跟踪利用工具包的致命泄露,也许背后的演员会调整它。但他从来没有这样做,竞选活动继续了几天。
周日,网络安全公司Sucuri发表了一篇关于严重的Magento Guruincsite感染”。Magento是一个流行的内容管理系统(CMS)。据Sucuri所说,这是一次非常大的攻击,已经危及了成千上万的Magento网站。Sucuri怀疑CMS或其插件中存在漏洞。
这个名字的guruincsite我们也很熟悉,因为它碰巧是我们的重定向基础设施的一部分neitrino”活动。事实证明,Sucuri在服务器端看到的攻击和我们在客户端通过web漏洞看到的攻击是一样的。
重定向路径从一个受损的网站开始,经过静态路径guruincsite.com域名,并继续通过一系列iframe从其他受影响的网站。
最后一个URL会加载中微子开发工具包,它会触发一个Flash开发,然后丢弃仙女座/ Gamarue恶意软件。被攻击的机器可以被获取财务凭证,也会成为大型僵尸网络的一部分。
根据我们自己的数据,我们仍在观察一个正在进行的活动,也通过入侵的网站,但使用不同的注入和重定向模式。但在过去的几天里,这种新的病毒实际上一直在快速增长,这表明威胁行为者一直在滥用一种新的利用载体。
必威平台APPAnti-Exploit在恶意软件字节时阻止中微子EK必威平台APP反恶意软件已经检测到丢失的二进制文件。
评论