外媒1月22日消息,CSE Cybsec 的惡意軟件專家發(fā)現(xiàn)了一個大規(guī)模的惡意廣告運動 EvilTraffic,利用數(shù)萬個受感染的網(wǎng)站開展攻擊。據(jù)悉,黑客在此次攻擊活動中利用了一些 CMS 漏洞上傳和執(zhí)行用于通過廣告創(chuàng)收的任意 PHP 頁面。
研究人員介紹,參與惡意軟件EvilTraffic活動的受感染網(wǎng)站運行著WordPress CMS的各種版本,一旦網(wǎng)站遭到入侵,攻擊者將上傳一個包含所有惡意文件的 “ zip ” 文件。盡管 “ zip ” 文件對于每一種感染都有不同的名稱,但是在未壓縮時,它所包含的文件始終具有相同的結(jié)構(gòu)。經(jīng)過研究人員分析,目前這些文件還沒有被使用。
惡意文件可能被插入到相同惡意軟件不同版本的路徑下(“ vomiu ”,“ blsnxw ”,“ yrpowe ”,“ hkfoeyw ”,“ aqkei ”,“ xbiret ”,“ slvkty ”)。該文件夾包含以下內(nèi)容:
① 一個名為 “ lerbim.php ” 的 php 文件;
② 一個與父目錄具有相同的名稱的 php 文件,; 它最初只有 “ .suspected ” 擴展名,只有在第二次使用 “ lerbim.php ” 文件的時候才會在 “ .php ” 文件中被修改;
③ 兩個名為 “ wtuds ” 和 “ sotpie ” 的目錄,其中包含一系列文件。
下圖顯示了這種結(jié)構(gòu)的一個例子:
EvilTraffic 活動中使用的“ 惡意軟件 ”主要目的是通過至少兩臺產(chǎn)生廣告流量的服務(wù)器觸發(fā)重定向鏈。
文件 “ {malw_name} .php ” 成為所有環(huán)境的核心:如果用戶通過網(wǎng)頁瀏覽器接觸到它,它首先將流量重定向到“ caforyn.pw ”,然后再重定向到 “ hitcpm.com ”,充當一個不同的網(wǎng)站注冊到這個收入鏈的調(diào)度員。
這些網(wǎng)站可以被攻擊者用來提供商業(yè)服務(wù),目的是為其客戶增加流量,但是這種流量是通過損害網(wǎng)站的非法方式產(chǎn)生的。除此之外,這些網(wǎng)站還可以提供虛假頁面來下載虛假的東西(比如工具欄、瀏覽器擴展或偽反病毒)或者竊取敏感數(shù)據(jù)(即信用卡信息)。
為了提高網(wǎng)站的知名度,被攻陷的網(wǎng)站必須在搜索引擎上擁有良好的排名。因此,惡意軟件通過利用包含趨勢搜索詞的詞匯表來執(zhí)行 SEO 中毒。
目前 CSE CybSec ZLab 的研究人員發(fā)現(xiàn)了大約 18,100 個受感染的網(wǎng)站。當研究人員分析 EvilTraffic 的惡意廣告活動時,他們意識到最初幾個星期內(nèi)使用的被感染的網(wǎng)站在最后幾天都被清理干凈了。僅在一周之內(nèi),受影響的網(wǎng)站數(shù)量從 35 萬個下降到 18 萬個左右。
根據(jù) Alexa Traffic Rank 的數(shù)據(jù),hitcpm.com 排名世界第 132 位,全球互聯(lián)網(wǎng)用戶訪問量約為 0.2367% 。以下是 hypestat.com 網(wǎng)站提供的與 hitcpm.com 相關(guān)的流量統(tǒng)計數(shù)據(jù):
分析顯示 2017 年 10 月份的流量呈指數(shù)增長。目前專家還發(fā)現(xiàn)惡意軟件通過各種方法分發(fā),例如:
① 附件垃圾郵件
② 通過不可靠的網(wǎng)站下載免費程序
③ 打開 torrent 文件并點擊惡意鏈接
④ 通過玩網(wǎng)絡(luò)游戲
⑤ 通過訪問受影響的網(wǎng)站
惡意軟件的主要目的是劫持網(wǎng)頁瀏覽器設(shè)置,如 DNS,設(shè)置,主頁等,以便盡可能多地將流量重定向到調(diào)度器站點。