前言

最近研究人員發(fā)現(xiàn)了一個(gè)惡意活動(dòng)中的注入腳本，其可以將虛假瀏覽器更新推送給網(wǎng)站訪問者：

黑客網(wǎng)站上的虛假Firefox更新提醒

當(dāng)用戶訪問這些黑客網(wǎng)站時(shí)，會(huì)彈出一個(gè)消息框，聲稱是瀏覽器“更新中心”(這些顯示的瀏覽器是Firefox，但也有Chrome、InternetExplorer和Edge瀏覽器的此類消息)。

具體提醒內(nèi)容是：”由于瀏覽器版本過時(shí)，出現(xiàn)了一個(gè)嚴(yán)重的錯(cuò)誤。因此請(qǐng)盡快更新您的瀏覽器。“為了使這一聲明顯得更加真實(shí)，惡意軟件在后臺(tái)顯示一些亂碼文本。

“安全中心”建議下載并安裝更新，以避免“丟失個(gè)人和存儲(chǔ)數(shù)據(jù)，以及機(jī)密信息泄露和瀏覽器錯(cuò)誤 ”。下載鏈接指向某個(gè)受損第三方站點(diǎn)上的exe和zip文件。許多防病毒軟件通常可以很好地檢測(cè)到有效負(fù)載。

腳本注入

研究人員已經(jīng)確定了最近幾次這類惡意活動(dòng)。黑客可以選擇向受損網(wǎng)頁注入外部腳本鏈接，或是注入整個(gè)腳本代碼。

外部Update.js腳本

以下是此惡意活動(dòng)中使用的一些外部腳本鏈接示例：

hxxps://wibeee.com[.]ua/wp-content/themes/wibeee/assets/css/update.js  
hxxp://kompleks-ohoroni.kiev[.]ua/wp-admin/css/colors/blue/update.js  
hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update.js 

這些update.js文件中包含一個(gè)混淆腳本，用于創(chuàng)建虛假的瀏覽器更新覆蓋窗口，其中還附有虛假更新文件的下載鏈接，例如：

hxxp://kvintek.com[.]ua/templates/ja_edenite/admin/update_2018_02.browser-components.zip 

VirusTotal上有14個(gè)防病毒軟件將此文件標(biāo)識(shí)為特洛伊木馬，此網(wǎng)頁中還可以發(fā)現(xiàn)更多類似的文件。

今年1月在kvintek[.]com.ua上發(fā)現(xiàn)的另一些可疑URL下載鏈接為：

hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update_2018_01.exe 

內(nèi)聯(lián)腳本

在某些時(shí)候，黑客不會(huì)向受損網(wǎng)頁注入外部腳本鏈接，而是注入完整的惡意JavaScript代碼。

在DLE網(wǎng)站上的HTML代碼底部注入虛假更新代碼

注入的代碼非常龐大(90+Kb)。為了隱藏它，黑客增加了70多條空行，寄希望于網(wǎng)站管理員在看到空屏幕后停止瀏覽代碼。在這一點(diǎn)上，研究人員發(fā)現(xiàn)有多達(dá)117個(gè)網(wǎng)站存在此類惡意軟件。

隨后，攻擊者切換到上述的注入外部鏈接，這樣做可能是為了使注入的代碼不那么突出。但是，外部鏈接有一個(gè)明顯的缺點(diǎn)——很容易被列入黑名單——因此他們切換為注入完整的腳本。新腳本顯然更小——不超過30Kb，并且不包含純文本的下載鏈接。

新版本的注入腳本

新版本的惡意軟件在受感染的第三方網(wǎng)站上使用以下有效負(fù)載鏈接：

hxxp://alonhadat24h[.]vn/.well-known/acme-challenge/update_2018_02.browser-components.zip 
 
hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.browser-components.zip 
 
hxxp://sdosm[.]vn/templates/beez_20/images/_notes/update_2019_02.browser-components.zip 

標(biāo)題4虛假JPG文件暗藏惡意軟件

zip文件非常小，大約只有3Kb大小，對(duì)于真正的Windows惡意軟件來說遠(yuǎn)遠(yuǎn)不夠。通過仔細(xì)分析，發(fā)現(xiàn)它只包含一個(gè).js文件，其名稱如下：

update_2019_02.browser-components .js

該文件名在components后包含100個(gè)空格字符，看起來像是為了隱藏文件擴(kuò)展名。因此JavaScript文件被混淆了，它具有以下加密關(guān)鍵字：

很容易看到代碼使用Windows腳本主機(jī)功能下載外部文件，執(zhí)行它們，然后刪除。

在這種情況下，腳本會(huì)嘗試從受感染的第三方站點(diǎn)下載browser.jpg文件。這里很容易被.jpg擴(kuò)展名所迷惑，實(shí)際上它是使用cmd.exe /c 命令啟動(dòng)的Windows .exe文件。

此shell腳本的新版本使用以下下載鏈接：

hxxp://giasuducviet[.]vn/administrator/backups/browser.jpg 
 
hxxp://farsinvestco[.]ir/wp-content/themes/consulto-thecreo/languages/browser.jpg 

VirusTotal掃描顯示虛假.jpg文件包含勒索軟件：

Browser.jpg被檢測(cè)到勒索軟件

結(jié)論

此攻擊活動(dòng)顯示了黑客們是如何在攻擊的各個(gè)階段利用受感染的網(wǎng)站——將腳本注入合法網(wǎng)頁，以及托管惡意二進(jìn)制下載文件。

雖然外部掃描儀可以檢測(cè)到第一種類型的感染，但是如果不訪問服務(wù)器，則很難檢測(cè)到第二種類型(惡意下載)。在這種情況下，各種防病毒軟件的黑名單可能會(huì)有所幫助——客戶端防病毒軟件會(huì)查看惡意下載源自何處。