欺诈软件横行:众多商业站点通过Neutrino exploit kit 被部署CryptXXX


http://p0.qhimg.com/t0182f32ce20d902a63.jpg

  如果你曾经访问过Dunlop Adhesives的DIY项目网站、危地马拉官方旅游网站,或是大量其他合法网站(在某些情况下合法),你可能会发现大量你本不需要的信息。这些网站都会将访问者重定位到一个恶意网站,该网站会尝试在用户设备上安装CryptXXX,这是一系列加密勒索,首次发现是在今年4月。

http://p8.qhimg.com/t01dae376731345be57.png

  从端点安全软件供应商 Invincea 研究人员的一份报告来看,这些网站很有可能是被一个叫做SoakSoak的僵尸网络或是类似的自动攻击侵入了,这种攻击会寻找脆WordPress插件和其他未安装修补程序的内容管理工具,借此下手。


SoakSoak是俄罗斯的一个域名,自出现以来已经攻击了数千个网站。2014年12月,在僵尸网络利用 WordPress RevSlider 插件攻击关联网站之后仅一天时间,谷歌就被迫关闭了超过11,000个域。


在最近一次攻击中,SoakSoak的植入代码可以将用户重定位到一个会安装Neutrino exploit kit的网站中,这是在地下交易市场上售卖的一种“商业”恶意软件注入工具。这次攻击似乎是从5月开始的,但是从那时起,恶意软件工具包和恶意软件都已经升级了。最新版本的开发组件企图绕开安全软件检查。

 

 端点安全软件供应商 Invincea的Pat Belcher 在自己的博客中写道,“一旦受害者被重定位到Neutrino exploit kit,该终端就会扫描用户是否使用安全软件(例如VMWare、Wireshark、 ESET、 Fiddler, 或者是 Flash播放器调试设备)。如果受害者主机中不存在这些程序,外壳命令程序就会打开,Wscript的windows程序就会从指挥控制服务器中下载恶意软件的有效荷载。”

  

CryptXXX像是其他加密勒索的变种产品,流程就是加密文件、将受害者指示到一个Tor.onion网站、让受害者支付赎金获得密钥。恶意软件会尝试挂载每一个可能的驱动器来搜索文件,寻找网络驱动器、外部设备和本地磁盘。攻击者提出的赎金一般数额巨大,有时候甚至超过价值500美金的比特币。


  Ars试图联系Dunlop和其他一些受影响网站,但是还没有收到任何答复,我们会不断跟进。就算这些组织正在努力和攻击者作斗争,其他网站也有可能迅速被攻占,因为还有大量网站没有修复站点加载项(比如WordPress 插件)。


免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐