محققان بیش از 150000 وب سایت در معرض خطر را پیدا کردند
وبسایتها بدافزاری را حمل میکردند که آنها را با صفحات فرود مخرب پوشانده بود
به مدیران وب توصیه می شود کد خود را بررسی کنند
محققان امنیتی c/side اخیراً از یک کمپین بزرگ ربودن وبسایت گزارش دادند که در آن عوامل تهدید ناشناس بیش از 35000 وبسایت را گرفتند و از آنها برای هدایت بازدیدکنندگان به صفحات مخرب و حتی ارائه بدافزار به آنها استفاده کردند.
اکنون، یک ماه بعد، تیم ادعا کرده است که این کمپین از این هم بیشتر شده است و اکنون 150000 وب سایت را در معرض خطر قرار داده است.
C/side معتقد است که این کمپین مربوط به سوء استفاده Megalayer است، زیرا به دلیل توزیع بدافزار به زبان چینی شناخته شده است، شامل الگوهای دامنه یکسان و همان تاکتیک های مبهم سازی است.
تغییر مسیرها را باز کنید
در حالی که این روش کمی تغییر کرده است و اکنون با یک "رابط کمی تغییر یافته" ارائه می شود، اصل موضوع همچنان یکسان است، زیرا مهاجمان از تزریق iframe برای نمایش یک پوشش تمام صفحه در مرورگر بازدید کننده استفاده می کنند.
همپوشانیها یا وبسایتهای شرطبندی قانونی جعل شده یا صفحات قمار جعلی را نشان میدهند.
C/side جزییاتی ارائه نکرد که مهاجمان چه کسانی هستند، به جز اینکه میگویند آنها میتوانند با سوءاستفاده Megalayer مرتبط باشند.
مهاجمان به احتمال زیاد چینی هستند، زیرا از مناطقی می آیند که ماندارین رایج است، و از آنجایی که صفحات فرود نهایی محتوای قمار را با نام تجاری Kaiyun ارائه می دهند.
آنها همچنین در مورد اینکه چگونه عوامل تهدید توانسته اند این ده ها هزار وب سایت را به خطر بیندازند، صحبت نکردند، اما هنگامی که مهاجمان به آن دسترسی پیدا کردند، از آن برای تزریق یک اسکریپت مخرب از لیستی از وب سایت ها استفاده کردند.
محققان در گزارش قبلی توضیح دادند: «پس از بارگیری اسکریپت، پنجره مرورگر کاربر را به طور کامل ربوده - اغلب آنها را به صفحاتی که یک پلتفرم قمار (یا کازینو) به زبان چینی را تبلیغ میکنند هدایت میکند.
برای کاهش خطر تصاحب وبسایت، c/side میگوید مدیران وب باید کد منبع خود را بررسی کنند، دامنههای مخرب را مسدود کنند، یا از قوانین فایروال برای zuizhongs[.]com، p11vt3[.]vip و زیر دامنههای مرتبط استفاده کنند.
همچنین عاقلانه است که به گزارشهای مربوط به درخواستهای خروجی غیرمنتظره به این دامنهها توجه کنید.
ارسال نظر