Cyphort Labs监视了世界各地的顶级网站一周的时间, 目的是寻找drive-by利用留下的恶意代码。他们最近发现了一个新的钓鱼活动,它使用bootstrapcdn.org重定向器,将用户传送到域名为.co.uk的英国网站的恶意载荷处。这不是打恶意广告,而是直接盗用网站 (可能是通过FTP密码盗窃),并使用嵌入式脚本标记进行重定向。下面是到目前为止,在此次运动中受到攻击的19个网站的名单:

警告:请避免访问上述的这些网站,它们可能仍然受到攻击的影响。

正如你所见,此次攻击活动始于5月9日,也就是大约一个星期前。它致使许多不同的网站受到感染,其中主要是基于web的论坛。到目前为止,最引人注目的受害者是jscfcu.org和uvnc.com。

第一个受害者是德克萨斯州的信用合作社——JSC FCU,迄今已成立50年, 在整个大休斯顿地区拥有123000多名成员和2000 多个社区服务业务合作伙伴(CBP)。下面是信用社网站的截图。

第二个受害者——UltraVNC.com更引人注目。UltraVNC是远程管理中最常用的远程桌面程序,类似于TeamViewer、pcAnywhere和LogMeIn。如果用户在它面前,它会允许用户使用远程计算机。在电脑运算中,虚拟网络计算(VNC)是一个图像化桌面共享系统,它可以通过网络,将键盘和鼠标事件从一台计算机传输到另一台, 并沿着另一个方向将图像屏幕更新传递回来。 VNC拥有超过十亿个副本, 在远程控制中,它实际上是一种约定俗成的标准。VNC已经被广泛应用于数以百计的产品和应用程序中,它可以在各种各样的桌面、移动的或嵌入式平台中使用,并且是最广泛的传输应用软件。它是官方互联网标准协议的一部分内容,在RFC 6143中有过明确定义。在默认情况下,UltraVNC在端口5900和5800中运行。

UltraVNC网站被盗用的影响是十分重大的,因为许多技术用户在为他们的朋友、家人或客户端电脑解决问题时,都会去这个网站下载VNC客户端。而目前,网站似乎是由攻击者控制着的,因此VNC软件很可能已经被替换为木马。需要注意的是,我们之前曾经见过unvc.com被盗用,事实上,仅仅是今年就已经发生了6次:

在这次攻击中,所有案例的感染链如下:

下面的截图中是bootstrapcdn.org重定向器使用的JS代码。

这个截图是xxx.co.uk/xxx载荷页面上的Angler JS代码。

值得一提的是,在2016年,攻击者使用.co.uk域名的案例同比增长了150%。我们认为,相对于注册一个新.co.uk域名,攻击者更希望通过盗用co.uk注册客户的账户来添加额外的子域名DNS指针。

例子: specialist-foods.co.uk是一个合法的商业网站, zunickender.specialist-foods.co.uk是一个黑客子域名。

在发布这篇博客之前,我们已经尽可能地通知了这些网站的所有者。感谢亚历克斯·伯特帮助我们分析此次攻击中恶意软件的通信。