外媒 1 月 22 日消息,CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic,利用数万个受感染的网站开展攻击。据悉,黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。
研究人员介绍,参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本,一旦网站遭到入侵,攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称,但是在未压缩时,它所包含的文件始终具有相同的结构。经过研究人员分析,目前这些文件还没有被使用。
恶意文件可能被插入到相同恶意软件不同版本的路径下(“ vomiu ”,“ blsnxw ”,“ yrpowe ”,“ hkfoeyw ”,“ aqkei ”,“ xbiret ”,“ slvkty ”)。该文件夹包含以下内容:
① 一个名为 “ lerbim.php ” 的 php 文件;
② 一个与父目录具有相同的名称的 php 文件,; 它最初只有 “ .suspected ” 扩展名,只有在第二次使用 “ lerbim.php ” 文件的时候才会在 “ .php ” 文件中被修改;
③ 两个名为 “ wtuds ” 和 “ sotpie ” 的目录,其中包含一系列文件。
下图显示了这种结构的一个例子:
EvilTraffic 活动中使用的“ 恶意软件 ”主要目的是通过至少两台产生广告流量的服务器触发重定向链。
文件 “ {malw_name} .php ” 成为所有环境的核心:如果用户通过网页浏览器接触到它,它首先将流量重定向到“ caforyn.pw ”,然后再重定向到 “ hitcpm.com ”,充当一个不同的网站注册到这个收入链的调度员。
这些网站可以被攻击者用来提供商业服务,目的是为其客户增加流量,但是这种流量是通过损害网站的非法方式产生的。除此之外,这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。
为了提高网站的知名度,被攻陷的网站必须在搜索引擎上拥有良好的排名。因此,恶意软件通过利用包含趋势搜索词的词汇表来执行 SEO 中毒。
目前 CSE CybSec ZLab 的研究人员发现了大约 18,100 个受感染的网站。当研究人员分析 EvilTraffic 的恶意广告活动时,他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内,受影响的网站数量从 35 万个下降到 18 万个左右。
根据 Alexa Traffic Rank 的数据,hitcpm.com 排名世界第 132 位,全球互联网用户访问量约为 0.2367% 。以下是 hypestat.com 网站提供的与 hitcpm.com 相关的流量统计数据:
分析显示 2017 年 10 月份的流量呈指数增长。目前专家还发现恶意软件通过各种方法分发,例如:
① 附件垃圾邮件
② 通过不可靠的网站下载免费程序
③ 打开 torrent 文件并点击恶意链接
④ 通过玩网络游戏
⑤ 通过访问受影响的网站
恶意软件的主要目的是劫持网页浏览器设置,如 DNS、设置、主页等,以便尽可能多地将流量重定向到调度器站点。
报告原文:http://csecybsec.com/download/zlab/20180121_CSE_Massive_Malvertising_Report.pdf
消息来源:Security Affairs,编译:榆榆,校审:FOX
声明:本文来自HackerNews,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。