JavaScript的注入引出技能欺诈

访客5年前黑客资讯922

0×01 前语
在最近的歹意软件的查询中,咱们发现了一些风趣的混杂JavaScript代码。此代码伪装成现在盛行的插件AddThis social sharing的一部分,在URL命名约好和图画文件中运用它。歹意软件最终将网站拜访者重定向到node.additionsnp[.]top,这个网站存在着可能对拜访者形成要挟的技能圈套。这种歹意软件奇妙的躲藏了自己, *** 管理员很难能辨认它。
0×02 混杂的歹意图画文件
歹意代码嵌入在WordPress中心文件的结尾
wp-includes/js/jquery/ui/datepicker.min.js

攻击者运用onblur函数加载歹意内容,窗口失掉焦点三秒后,它将运用replace函数来解密含糊的payload URL。 这是经过在字符串中随机方位增加0到5的数字来编码的,如下所示:
22c1n4d41.3s27-44a2d11d1t0hi4s3.0t1o2p001
在从字符串中删去0-5之间的一切数字后,咱们看到它从以下方位的URL获取payload:
//cnd.s7-addthis[.]top
歹意软件还会在字符串前增加http和附加#ad.png,然后生成PNG图画文件的URL。
0×03 一个令人信服的假图画
该歹意软件很狡猾,假如你直接去拜访PNG文件,会回来一个404页面。这很可能是攻击者根据拜访者浏览器的 user-agent字符串进行了约束拜访。咱们能够运用curl东西去假造一下,欺诈它正常的进行作业。
我能够拜访假的PNG文件。它乃至包括正确的头信息和戏法字节,以将文件格局标识为PNG图画:

该文件还包括一些二进制代码,它经过浏览器烘托一个实践的图画(它看起来像一个真实的AddThis图标)。 这个额定的过程使得它更难被网站一切者辨认为歹意软件:

躲藏在图画文件中的歹意代码在歹意软件事务中并不是什么新东西 – 咱们现已看到了这些年来不同的技能。在PNG文件的END部分之后增加的歹意代码不会损坏图画。
图画文件内容,带有歹意有效载荷在结尾,由咱们上面说到的脚本解析和履行:
eval(y.responseText.split('###')[1]);
躲藏函数用于将浏览器重定向到URL:
hxxp://node.additionsnp[.]top/?aff=8007001
0×04 重定向到技能欺诈
此页面查看拜访者的IP地址和浏览器,运用下面的脚本将不契合的拜访者回来到上一页面:
window.onload=history.back();
关于搜索引擎的user-agents(例如Googlebot),此页面回来404 Not Found过错。
可是,假如拜访者在启用JavaScript的Windows上运用浏览器,而且运用美国或加拿大IP,则此页面将显现带有典型技能欺诈正告的弹出窗口。这些骗子企图压服受害者,他们的计算机感染了歹意软件,并紧迫发布一些免费的“协助台”号码来处理这个问题。
假如受害者呼叫这些号码,骗子将连接到受害者的计算机,然后自愿铲除过错日志,并删去不存在的歹意软件 – 交换几百美元。
拜访受害者的计算机也能够使骗子装置一些额定的特务软件。 有时,圈套页面乃至可能会恳求您的Windows用户名和暗码(as reported in this MalwareBytes thread),这可能有助于感染受害者的计算机。
0×05 Source and Additional Domains
此歹意软件广告运用坐落伯利兹的IP地址的服务器,特别是在俄罗斯和乌克兰安排注册的80.87.205.233和185.93.185.243。
咱们发现有更多的网域与此歹意软件广告系列相关联:
wine.industrialzz.top
one.industrialzz.top
web.machinerysc.top
sub.contentedy.top
check-work-18799.top
asp.refreshmentnu.top
get.resemblanceao.bid
sip.discoveredzp.bid
0×06 总结
有这么多域用于保管欺诈内容,这似乎是这些唯利可图黑帽子的隶属公司。这个歹意软件被注入到WordPress中心文件,与其他代码混合,并欺诈了解的合法服务,以躲藏其轨道,使其很难被发现。
简略搜索你的网站文件和数据库去发现歹意域不会有任何效果,由于这能够很简单混杂。
为了快速检测您的网站文件的未经授权的更改,您能够设置一个监控服务,将您的文件与已知的杰出状况进行比较。我主张运用WordPress的sucuri-scanner插件,准备好对安全事情采纳举动,能够让您在拜访者遭到这些欺诈行为损伤之前采纳举动。
 

相关文章

运用Python检测并绕过Web应用程序防火墙

Web运用防火墙一般会被布置在Web客户端与Web服务器之间,以过滤来自服务器的歹意流量。而作为一名浸透测验人员,想要更好的打破方针体系,就有必要要了解方针体系的WAF规矩。现在,许多WAF都是根据签...

探究Flask/Jinja2中的服务端模版注入(一)

假如你还没听说过SSTI(服务端模版注入),或许对其还不够了解,在此之前主张咱们去阅览一下James Kettle写的一篇文章。 作为一名专业的安全从事人员,咱们的作业便是协助企业安排进行危险决议计划...

恣意用户暗码重置(四):重置凭据未校验

在逻辑缝隙中,恣意用户暗码重置最为常见,或许出现在新用户注册页面,也或许是用户登录后重置暗码的页面,或许用户忘掉暗码时的暗码找回页面,其间,暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成...

网站检测提示的“Flash装备不妥”是什么缝隙?

 360站长渠道中有一个东西是“官网直达”,经过恳求能够使你的网站在360搜索成果中加上“官网”字样的标识,百度也有这样的东西,不过是收费的,所以趁着360还没收费,有爱好的朋友可认为自己的网站恳求一...

Web安全之XSS、CSRF和JWT

XSS 跨站脚本(Cross-site scripting,一般简称为XSS)是一种网站运用程序的安全漏洞进犯,是代码注入的一种。它答应歹意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这...

新手攻略:DVWA-1.9全等级教程之CSRF

现在,最新的DVWA现已更新到1.9版别(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版别,并且没有针对DVWA high等级的教程,因而萌发了一个编撰新手教程的主意,过错...