外媒 1 月 22 日消息,CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic,利用数万个受感染的网站开展攻击。据悉,黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。
研究人员介绍,参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本,一旦网站遭到入侵,攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称,但是在未压缩时,它所包含的文件始终具有相同的结构。经过研究人员分析,目前这些文件还没有被使用。
恶意文件可能 *** 入到相同恶意软件不同版本的路径下(“ vomiu ”,“ blsnxw ”,“ yrpowe ”,“ hkfoeyw ”,“ aqkei ”,“ xbiret ”,“ slvkty ”)。该文件夹包含以下内容:
① 一个名为 “ lerbim.php ” 的 php 文件;
② 一个与父目录具有相同的名称的 php 文件,; 它最初只有 “ .suspected ” 扩展名,只有在第二次使用 “ lerbim.php ” 文件的时候才会在 “ .php ” 文件中被修改;
③ 两个名为 “ wtuds ” 和 “ sotpie ” 的目录,其中包含一系列文件。
下图显示了这种结构的一个例子:
EvilTraffic 活动中使用的“ 恶意软件 ”主要目的是通过至少两台产生广告流量的服务器触发重定向链。
文件 “ {malw_name} .php ” 成为所有环境的核心:如果用户通过网页浏览器接触到它,它首先将流量重定向到“ caforyn.pw ”,然后再重定向到 “ hitcpm.com ”,充当一个不同的网站注册到这个收入链的调度员。
这些网站可以被攻击者用来提供商业服务,目的是为其客户增加流量,但是这种流量是通过损害网站的非法方式产生的。除此之外,这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。
为了提高网站的知名度,被攻陷的网站必须在搜索引擎上拥有良好的排名。因此,恶意软件通过利用包含趋势搜索词的词汇表来执行 SEO 中毒。
目前 CSE CybSec ZLab 的研究人员发现了大约 18,100 个受感染的网站。当研究人员分析 EvilTraffic 的恶意广告活动时,他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内,受影响的网站数量从 35 万个下降到 18 万个左右。
根据 Alexa Traffic Rank 的数据,hitcpm.com 排名世界第 132 位,全球互联网用户访问量约为 0.2367% 。以下是 hypestat.com 网站提供的与 hitcpm.com 相关的流量统计数据:
分析显示 2017 年 10 月份的流量呈指数增长。目前专家还发现恶意软件通过各种 *** 分发,例如:
① 附件垃圾邮件
② 通过不可靠的网站下载免费程序
③ 打开 torrent 文件并点击恶意链接
④ 通过玩 *** 游戏
⑤ 通过访问受影响的网站
恶意软件的主要目的是劫持网页浏览器设置,如 DNS,设置,主页等,以便尽可能多地将流量重定向到调度器站点。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
Hackernews 编译,转载请注明出处: 据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,...
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站...
包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 G...
Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并...
SushiSwap 首席技术官表示,该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融(DeFi)平台,方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候,Sushi 的最新产品 Minimal Initial SushiSwap Off...
Google的安全研究人员对NSO集团的一个零点击iMessage进行了深入研究,并揭示了该公司攻击的复杂性。Google Project Zero(零点项目)指出,ForcedEntry零点击漏洞–它已被用来针对活动家和记者–是“我们所见过的技术中最复杂的漏洞之一”。 另外,它还说明了NSO集团...