在他们的网站黑客趋势报告美国网络安全公司Sucuri指出,2018年WordPress感染率上升至90%。内容管理系统(CMS)感染有时被忽视的一个方面是,攻击者不仅攻击CMS本身——wordpress、Drupal等——而且还攻击第三方插件和主题。
虽然插件对于为CMS运行网站提供其他功能,但它们也增加了攻击表面。并非所有插件都经常维护或安全,有些人甚至被他们的开发人员抛弃,留下了永远不会得到固定的错误。
在过去的几个月里,我们注意到威胁演员利用几个高调的插件漏洞,以重定向各种货币化方案的流量,具体取决于访问者的地理位置和其他属性。这WordPress GDPR.合规插件漏洞,且较近期简单的WP STMP和社会战争漏洞是一些例子机会主义的攻击迅速在野外采用。
重定向基础设施
被攻击的网站可以以不同的方式获得货币化,但最受欢迎的是劫持交通并将游客重定向到诈骗和利用.
我们开始在Sucuri的博客文章中关注的最新注射活动社会战争零天存储XSS.根据日志数据,自动利用试图从Pastebin粘贴,可以在下面看到。混淆代码显示威胁演员使用的一个域:
用于对弱势插件的自动攻击中使用的Pastebin代码片段
我们的爬虫器通过与这些最近的插件Hacks相关的相同的基础设施确定了重定向方案。受损网站注入了解码的大量混淆代码setforconfigplease [。] com(与Pastebin代码中的相同的域)。
被吸入到黑客网站的混淆代码
重定向的第一层指向所托管的域176.123.9 [] 52和176.123.9。53它将通过.tk域执行第二个重定向。来自Sucuri的Denis在过去的几天里跟踪了这些域的演变和旋转。
新域用于“Easy WP SMTP”和“社会战争”(和其他一些)攻击 - RedRentalService [。] Com - 注册2019-03-21。替换setForConfigplease [。] Com(3月4日注册)。https://t.co/2rwvxhlrfb.和https://t.co/lqse0iwr61.
- 丹尼斯(@unmaskparasites)2019年3月22日
根据我们的遥测,在这场广告系列中重定向的大多数用户来自巴西,其次是美国和法国:
基于访客原籍国的最佳检测
诈骗,恶意等等
这个广告系列(和其他类似的目标)是交通货币化。威胁演员获得从受损站点到各种诈骗和其他溢利产生方案的流量。在过去的几个月里,我们一直在遵循涉及前面描述的相同基础设施的主动重定向运动。
跟踪任何持续的威胁都会深入了解威胁演员的剧本 - 无论是大的还是小的。代码可以通过迭代,从清除文本才能混淆,或者或许可能包含新功能。
虽然在这次活动中有许多基于地理位置和浏览器类型的最终有效负载,但我们关注的是一些人们可能会遇到的流行负载。通过劫持数千个被黑网站的流量,骗子在试图避免被屏蔽的同时,对受害者进行指纹识别和重定向。
有效载荷类型的流量重定向
浏览器储物柜和技术支持诈骗
从历史上看,我们已经看到这个Sub运动作为浏览器储物柜的主要供应商之一,由Tech Support Scammers使用。使用.tk tld的新域每隔几分钟生成一次,以充当拨动器的重定向。回到2018年10月,Sucuri提到了这个积极的活动滥用旧的Tagdiv主题和智能谷歌代码插入器插件的未括号版本。
浏览器储物柜仍然是一种流行的社会工程工具,用来吓唬人们,让他们以为自己的电脑被感染并被锁住了。虽然没有真正的恶意软件,但JavaScript的一些巧妙之处却让浏览器供应商头疼不已。“邪恶光标”是那些有效阻止用户关闭标签页或浏览器窗口的技巧之一刚刚得到了修复.
BROWLOCK敦促受害者拨打假Microsoft支持
广告欺诈和ClickJacking
我们记录了一个特别的案例,通过看起来像博客的诱饵网站来展示谷歌广告暴露早在8月份的时候,它就展示了被黑客入侵网站的流量如何能带来每月2万美元的广告收入。
然而,在很快实施的扭曲之后,欺诈者愚弄了试图关闭广告并劫持他们的鼠标以实际点击广告的用户。实际上,当你向X移动鼠标光标时,广告横幅向上移动,而不是关闭广告,您的点击即可打开它。
这些骗子使用动态附加到页面上的CSS代码来监视鼠标光标,并在鼠标光标经过x时做出反应。这些客户端技巧是为了最大化广告利润,因为广告点击产生的收入要高得多。
CSS代码负责点击欺诈
恶意和弹出窗口
没有结束恶意计划犯罪分子的数量可以部署。一个特别偷偷摸摸的人正在滥用Chrome的推送通知,这是一个特征流氓广告商的梦想.即使您不浏览有问题的网站,这允许网站在屏幕右下角弹出通知。这些弹出窗口往往是蛇油PC优化器和成人网络摄像头或征求。
假Video Player欺骗用户接受通知
形成刮刀和撇渣器
对于短暂的一段时间,我们看到添加了JavaScript刮刀,并且在某些交通链中似乎是一个基本的撇渣器。尚不清楚目的是什么,除非它是与常规.tk重定向的某种实验。
略读器最常出现在电子商务网站,特别是那些运行Magento CMS的网站。当然,除非没有用户数据可以窃取,否则恶意重定向是第二好的方法。
在重定向基础设施中识别的窗体刮刀和撇脂器
网站流量是一种商品
网站安全类似于计算机安全性,在该站点所有者也接触到零日漏洞,并且必须始终修补。然而,没有主动保护(即Web应用程序防火墙)和站点所有者无法及时推出他们的安全更新,零天可以非常有效。
当发现关键漏洞时,观察到野外剥削前可能是一个小时。受损网站转向商品依赖于各种货币化方案,这反过来源于购买和销售恶意交通。
必威平台APP由于我们的网络拦截功能,用户可以免受这些诈骗。对于浏览器锁,强制扩展和其他骗局的额外保护,我们推荐我们的浏览器扩展。
妥协指标(IOCs)
176.123.9 [] 52
redrentalservice [。] com
setforconfigplease [。] com
somelandingpage。com
setforspecialdomain [。] com
getmyconfigplease。com
getmyfreetraffic。com
176.123.9。53
非常真美的平面[。] com
thebiggestfavoritemake [。] com
stopenumarationsz [。] com
strangefullthiggngs。com
SimpleOneline [。]在线
lastdaysonlines [。] com
cdnwebsiteforyou [。] biz
评论