网络第5域

CSDN等多个网站被黑客挂马用来传播木马病毒和钓鱼网站 疑似CDN被攻击

字号+作者:蓝点网 来源:蓝点网 2024-12-13 10:24 评论(创建话题) 收藏成功收藏本文

据网络安全公司奇安信威胁情报中心发布的消息,日前奇安信观察到包括CSDN在内的多个网站遭到黑客挂马,用来传播木马病毒和钓鱼网站等。奇安信威胁情报中心'...

据网络安全公司奇安信威胁情报中心发布的消息,日前奇安信观察到包括CSDN在内的多个网站遭到黑客挂马,用来传播木马病毒和钓鱼网站等。奇安信威胁情报中心从9月初观察到相关恶意域名(hxxps://analyzev.oss-cn-beijing.aliyuncs.com)陡增,但持续到9月底都没有观察到有效的payload,只有些奇怪的js脚本。ENs品论天涯网

上面提到的这个域名是阿里云面向客户提供的OSS对象存储默认域名,即代表着黑客将恶意文件全部存放在阿里云OSS中用于分发,可能也是为了规避域名检测。ENs品论天涯网

ENs品论天涯网

ENs品论天涯网

到10月底时黑客终于有了动作并可以观察到恶意的payload程序,包括:ENs品论天涯网

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe

从这些文件名称可以看到黑客试图将木马病毒伪装为更新程序、Flash等,甚至黑客还模仿GoogleChrome浏览器的报错页面绘制了证书更新钓鱼网站。ENs品论天涯网

下面这个网站看起来好像是Chrome报错的,但实际上是黑客制作的钓鱼网站,Chrome并没有这样的提示:ENs品论天涯网

ENs品论天涯网

CSDN被观察到成为挂马网站:ENs品论天涯网

奇安信团队的研究人员还注意到请求上述恶意程序的Referer都是CSDN网站正常的博客内容,基于相关日志最终确认CSDN遭到挂马,研究人员也成功复现了相关情况。ENs品论天涯网

这个被额外引入的js脚本是hxxps://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js即网站附带该脚本的情况下就有可能在前台访问时跳转钓鱼网站。ENs品论天涯网

值得注意的是被挂马的不只是CSDN,还有诸多行业网站乃至是地方政府网站也被挂马,目前奇安信推测是这些网站使用的某CDN提供商遭到攻击,即黑客通过CDN侧直接向网站加载恶意脚本,再通过恶意脚本投放钓鱼网站和木马病毒。ENs品论天涯网

不过奇安信并未透露这个CDN提供商,奇安信相关安全软件已经可以对这类木马进行拦截确保终端设备安全。ENs品论天涯网

ENs品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]