最近,我们发现了一个被称为“假jquery”的旧恶意软件活动使用的新域名记录由网络安全公司Sucuri提供。成千上万个被入侵的网站被注入了一个外部JavaScript的引用,这个JavaScript叫做jquery.js。

然而,关于这一战役的有效载荷有一些相当难以捉摸的东西。事实上,许多研究人员认为JavaScript是恶意的总是空白。

在这个博客中,我们分享了我们如何通过查找工件和使用各种User-Agent字符串和地理位置来识别假的jquery恶意软件感染的目的。

不出所料,我们发现了一个恶意重定向网站,主要针对那些被骗安装流氓应用的手机用户。最终目标是通过你手机上定期弹出的全屏广告创收。

寻找线索

我们的搜索从查找一些域开始在Twitter上提到的通过@Placebo52510486.有成千上万的网站PublicWWW被注入了恶意的jquery外观。

虽然我们不知道确切的感染媒介,但许多网站运行的是过时的内容管理系统(CMS)。

就像之前的其他研究人员一样,当我们重放流量时,被认为是恶意的JavaScript再次变成了空的。

然而,通过一些坚持和运气,我们找到了一个存档当它不是空的时候。

我们可以看到,它包含一个指向:financeleader[.]co。粗略检查这个域确认主机对对应于那些假的jquery域名。值得注意的是,在没有特殊标识符的情况下浏览根域名会重定向到google.com。

桌面网络流量

有一些地理定位涉及到重定向,显然桌面用户似乎不是这里的主要焦点。从一个美国的IP地址,你会看到一个虚假的网站,其中所有的项目都指向同一个链接,将你重定向到instantcheckmate[.]com。

相关网站流量:

从一个非美国IP,你被重定向到一个页面,积极宣传vpn:

相关网站流量:

移动网络流量

一旦我们切换到移动用户代理,特别是Android,我们可以看到更多的活动和各种重定向。例如,我们有一个虚假的成人网站,要求用户下载应用程序才能播放视频:

相关网站流量:

此应用程序是恶意的(检测为Android/木马。hiddenads。xt by 必威平台APPMalwarebytes),并会定期生成全屏广告。

流量盈利和广告欺诈

虽然我们遇到了一些桌面流量,但我们相信伪jquery活动的主要目标是通过手机用户盈利。这就解释了隐藏不合格流量所涉及的过滤级别。

我们无法了解游戏的规模,特别是考虑到启动重定向的域名在5月底才真正活跃起来。然而,考虑到被入侵的网站的数量,这一行动很可能会导致大量的流量导致广告欺诈。

必威平台APP恶意软件字节的用户在台式机和移动设备上都受到了保护。

妥协的指标

假的jquery域:
12 js。org
16 js。org
22 js。org
lib0。org
16自由。org
12自由。org
wp11。org

重定向:
financeleader(。)有限公司
afflink。org

恶意的apk:
0 e67fd9fc535e0f9cf955444d81b0e84882aa73a317d7c8b79af48d91b79ef19 a210c9960edc5362b23e0a73b92b4ce4597911b00e91e7d3ca82632485c5e68d