Forscher finden mehr als 150.000 gefährdete Websites Die Websites beförderten Malware, die sie mit böswilligen Landing -Seiten überlagert haben Webadministern wird empfohlen, ihren Code zu prüfen
Sicherheitsforscher C/Side berichteten kürzlich in einer großen Website -Entführungskampagne, in der Unbenannte Bedrohungsschauspieler nahmen über 35.000 Websites und benutzte sie, um Besucher auf böswillige Seiten umzuleiten und ihnen sogar Malware zu servieren.
Jetzt, einen Monat später, hat das Team behauptet Die Kampagne hat noch weiter skaliert und gefährdet nun erstaunliche 150.000 Websites.
C/Seite glaubt, dass die Kampagne mit dem Megalayer-Exploit zusammenhängt, da sie für die Verteilung chinesischer Sprache bekannt ist Malware enthält die gleichen Domänenmuster und dieselbe Verschleierungstaktik.
Offene Weiterleitungen
Während sich die Methode leicht geändert hat und jetzt eine „leicht überarbeitete Schnittstelle“ ausgestattet ist, ist der GIST immer noch dieselbe, da die Angreifer Iframe-Injektionen verwenden, um ein Vollbild-Overlay im Browser des Besuchers anzuzeigen.
Die Overlays zeigen entweder legitime Wett -Websites oder völlig gefälschte Glücksspielseiten.
C/Side detailliert nicht, wer die Angreifer sind, außer zu sagen, dass sie mit dem Megalayer -Exploit in Verbindung gebracht werden könnten.
Die Angreifer sind höchstwahrscheinlich Chinesen, da sie aus Regionen stammen, in denen Mandarin üblich ist, und da die endgültigen Zielseiten Glücksspielinhalte unter der Marke Kaiyun präsentieren.
Sie diskutierten auch nicht, wie es den Schauspielern der Bedrohung gelang, diese Zehntausenden von Websites zu gefährden, aber als die Angreifer Zugriff erhielten, verwendeten sie es, um ein böswilliges Skript aus einer Liste von Websites zu verleihen.
“Sobald das Skript geladen wird, wird das Browserfenster des Benutzers vollständig entführt und sie häufig auf Seiten umgeleitet, die eine chinesischsprachige Glücksspielplattform (oder Casino) fördern”, erklärten die Forscher im vorherigen Bericht.
Um das Risiko einer Übernahme des Website zu mildern, sollten Web -Administratoren ihren Quellcode prüfen, böswillige Domänen blockieren oder Firewall -Regeln für Zuizhongjs (.) COM, P11VT3 (.) VIP und zugehörige Subdomänen verwenden.
Es wäre auch ratsam, die Protokolle für unerwartete ausgehende Anfragen an diese Domänen im Auge zu behalten.
Sie könnten auch mögen
