Сайт вредоносных программ: нежелательный выход на YourBrexit

Некоторые писаки сайт стремимся сделать некоторые политические заявления. Взломами хорошо известны для этого. Некоторые инфекции перенаправлять посетителей на сайты мошенников, которые толкают (обычно поддельные) товары или (часто незаконные) услуги. Но что бы вы почувствовали, если ваш сайт посетители перенаправляются на политическом новостном сайте?

На этот раз речь идет об атаке, которая в основном нацелена на УК сайтах и перенацелил за 2 млн. (в основном Великобритании) посетителей YourBrexit[.]net 

– сайт, который публикует политически-заряженных комментария о выходе Великобритании из ЕС. Одной из жертв этой целенаправленной кампании вредоносные программы ub40[.]орг – веб-сайт, созданный бывшими участниками популярной Британской рэгги-группы.

Вредоносных Инъекций

На пострадавших сайтах хакеры введем следующий код в веб-страницы в футере. В WordPress он обычно footer.php файл активной темы.

 



Вот расшифрованная версия скрипта:

Браузере Кнопку “Назад”, Перенаправление

В декодированный фрагмент выше, вы можете увидеть, что этот скрипт использует довольно редкий трюк с участием onpopstate обработчик событий. Это событие запускается, когда вносятся изменения в историю браузера посетителя.

Когда посетитель открывает зараженный страницу, этот скрипт создает 10 поддельные записи истории браузера на эту страницу. В этом случае кнопка снова станет активной, даже если URL-адрес сайта набираешь в разделе свежие без истории вообще. Если посетитель нажимает и держит заднюю кнопку, чтобы просмотреть список ранее посещенных страниц, эти 10 поддельные записи будут отображаться.

Однако, эта фальшивая история-это не просто безобидная шутка. Когда посетитель нажимает на кнопку назад кнопку, вы остаетесь на зараженный сайт, а вторая часть вредоносных onpopstate обработчик события будет перенаправить вас наhttps://goo[.]gl/xyL6lQ,
Это первый шаг в следующую цепочку редиректов (на последней странице может различаться):

Goo.gl Link Analytics

В goo.gl URL сокращенным делает его легким для любого, чтобы увидеть статистику использования для данного URL-адреса.

Вам просто нужно добавить “+” в конце URL, чтобы увидеть статистику:

тот короткий URL-адрес, созданный на 10 февраля 2017, посетили более двух миллионов раз с тех пор.

Используя этот метод, можно также просмотреть статистику по рефералам – сайтов, которые связаны с укороченной Goo.gl ссылке.

 

Более 70% посещений были yourbrexit[.]co.uk как реферер и 22% показать 9jokers[.]com как ссылающегося сайта.

В whois Анализ главных Рекомендателей

В 9jokers домен в настоящее время выступает в качестве посредника перенаправление на сайт, но yourbrexit домен выглядит интересно. Он очень похож на домен посадочной страницы этой атаки, но он использует другой дву (.co.uk instead of .net).

Давайте проверим, если данные whois предоставляет информацию. Ни один из доменов не раскрывает своих владельцев (через сокрытия варианты) и 9jokers домена Малайзийского адрес. Недостаточно информации, чтобы делать какие-то выводы. Однако, даты каждого из доменных имен были зарегистрированы под дает нам подсказку:

Все сайты были созданы в 2017 году, скорее всего, специально для этой атаки. Но это не ответ на вопрос, почему им нужен обфусцированный скрипт и сайт-посредник для перенаправления посетителей, которые нажимают на заднюю кнопку от одного yourbrexit домена на другой. Мы продолжили расследование, чтобы увидеть, если мы могли бы найти причину этого.

Другие Гоо.гл Рефереры

Вы, возможно, заметили, есть и другие ссылающихся доменов в гоо.гл аналитика. Мы проверили, чтобы увидеть, если мы могли бы найти ответ.

Третий в списке рефереров-это uknip[.]ко.Великобритания — сайте (“Великобритания Новости в фотографиях”). Тема этого сайта (Новости россии) имеет отношение к сайты YourBrexit, поэтому мы изначально подозревали, что они имели тот же автор. Проблема с этим предположением является то, что домен был зарегистрирован еще в 2015 году, и вредоносный код уже удален. Шансы этого сайта на самом деле невинная жертва. Однако, он состоялся на той же подсети 185.119.173/24 вместе с yourbrexit[.]ко.Великобритания.

Потом мы начали проверять другие сайты, которые были абсолютно не связаны с отраслевыми новостями и у разных владельцев. Все они принадлежали к той же подсети того же провайдера.

Мы не смогли найти зараженные сайты за пределами этого кластера. Только сайты с неизвестным сервером местоположения 9jokers и yourbrexit[.]сетка – обе скрыты за помощью cloudflare брандмауэра.

Вероятный Сценарий Атаки

На данный момент, наиболее правдоподобная гипотеза заключается в том, что yourbrexit[.]Сеть пытается захватить yourbrexit[.]Ко.Великобритания — сайте.

В данном случае, это было целенаправленное нападение, который вводит вредоносный код для перенаправления посетителей .ко.Великобритании сайт .чистый сайт. Действительно, учитывая подобный контент сайта и доменное имя, посетитель может не заметить, что они в конечном итоге на другом сайте после нажатия на “назад” кнопку.

Мы также знаем, что ГУУ.гл короткая ссылка (зашифрованная в код), созданная 10 февраля, посетили почти 2 млн. раз перед yourbrexit[.]чистый домен был зарегистрирован (по 27 марта).

Скорее всего, до этого времени 9jokers сайте перенаправляется на другой домен. Мы не можем быть уверены в том, речь шла о выходе Великобритании из ЕС или просто типичным вредоносных программ, перенаправить назначения. Все мы знаем, что к концу марта они зарегистрировали yourbrexit[.]чистый домен и сделал его копию (не всегда синхронизированы и использовать другой шаблон) yourbrexit[.]ко.Великобритания — сайте. Затем они сделали 9jokers перенаправлены на этот фальшивый YourBrexit сайте.

Скорее всего, уязвимостью используемых взломали .ко.Великобритания сайт как доехать до других учетных записей на одном сервере кластера. Это позволило злоумышленникам испортить несколько других сайтов на том же хостинга инфраструктуры. Инфицированных сторонние сайты, в основном сайты на WordPress, но укол был также найден на специально оборудованной площадкой, которая использует фундаменты. Это заставляет нас думать, что злоумышленники вручную зараженные сайты (что не удивительно, учитывая целевой характер атаки) после того, как они получили доступ к файловой системе сервера.

Целевых Инфекций

Мы редко видим целевых инфекций сайте. В 99,9% случаев мы работаем по, хакеры заражают сайты просто потому, что им удалось скомпрометировать их. Сайт был уязвим – так злоумышленники заразили их. Ни хозяев, ни Контента имеет большое значение для хакеров. Конечно, там могут быть требования к определенным сайт вредоносных кампаний. Например, кредитная карта скребки могут только целевые сайты электронной коммерции, но даже в тех случаях, любой электронной коммерции сайт будет делать. Чем больше, тем лучше. Ничего личного – просто черные как обычно.

Однако, в редких случаях, хакеры могут быть заинтересованы в определенном месте – либо для кражи данных или для атаки его посетители. Несколько недавних деловой и политической истории шпионажа основаны на этом. В этом случае немного отличаются. Цель атаки заключается в использовании на популярность темы (квартал и месяц) и конкретного сайта (1,700,000+ редирект с yourbrexit[.]ко.Великобритании с февраля 2017 года по гоо.гл статистики) для того, чтобы захватить ее движения.

Даже при таргетинге на определенный сайт, хакеры редко пренебрегают низко висящие плоды. В этом случае, они также заражены много сайтов, которые разделяет таких же условиях с целевого сайта, просто потому что они могли.

Мы уведомили хостинг компании об этой проблеме, и они начали расследование.

Если ваш сайт является жертвой целенаправленной атаки или автоматизированного массового заражения, безопасности и целостности мониторинг поможет вам обнаружить любые нежелательные модификации и устранить проблему как можно скорее.

 С уважение СтопВирус