大规模EvilTraffic恶意广告活动感染数万WordPressCMS网站

2018-01-25 17:00 标签: 恶意广告活动,网络安全

  外媒1月22日消息,CSE Cybsec的恶意软件专家发现了一个大规模的恶意广告运动Evil Traffic,利用数万个受感染的网站开展攻击。据悉,黑客在此次攻击活动中利用了一些CMS漏洞上传和执行用于通过广告创收的任意PHP页面。

  研究人员介绍,参与恶意软件Evil Traffic活动的受感染网站运行着WordPress CMS的各种版本,一旦网站遭到入侵,攻击者将上传一个包含所有恶意文件的“zip”文件。尽管“zip”文件对于每一种感染都有不同的名称,但是在未压缩时,它所包含的文件始终具有相同的结构。经过研究人员分析,目前这些文件还没有被使用。

  恶意文件可能被插入到相同恶意软件不同版本的路径下  (“vomiu”,“blsnxw”,“yrpowe”,“hkfoeyw”,“aqkei”,“xbiret”,“slvkty”)。该文件夹包含以下内容:

  ①一个名为“lerbim.php”的php文件;

  ②一个与父目录具有相同的名称的php文件,;它最初只有“。suspected”扩展名,只有在第二次使用“lerbim.php”文件的时候才会在“。php”文件中被修改;

  ③两个名为“wtuds”和“sotpie”的目录,其中包含一系列文件。

  下图显示了这种结构的一个例子:

大规模EvilTraffic恶意广告活动感染数万WordPressCMS网站

  EvilTraffic活动中使用的“恶意软件”主要目的是通过至少两台产生广告流量的服务器触发重定向链。

  文件“{malw_name}.php”成为所有环境的核心:如果用户通过网页浏览器接触到它,它首先将流量重定向到“caforyn.pw”,然后再重定向到“hitcpm.com”,充当一个不同的网站注册到这个收入链的调度员。

大规模EvilTraffic恶意广告活动感染数万WordPressCMS网站

  这些网站可以被攻击者用来提供商业服务,目的是为其客户增加流量,但是这种流量是通过损害网站的非法方式产生的。除此之外,这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。

  为了提高网站的知名度,被攻陷的网站必须在搜索引擎上拥有良好的排名。因此,恶意软件通过利用包含趋势搜索词的词汇表来执行SEO中毒。

  目前CSE CybSec ZLab的研究人员发现了大约18,100个受感染的网站。当研究人员分析Evil Traffic的恶意广告活动时,他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内,受影响的网站数量从35万个下降到18万个左右。

  根据Alexa Traffic Rank的数据,hitcpm.com排名世界第132位,全球互联网用户访问量约为0.2367%。以下是hypestat.com网站提供的与hitcpm.com相关的流量统计数据:

大规模EvilTraffic恶意广告活动感染数万WordPressCMS网站

  分析显示2017年10月份的流量呈指数增长。目前专家还发现恶意软件通过各种方法分发,例如:

  ①附件垃圾邮件

  ②通过不可靠的网站下载免费程序

  ③打开torrent文件并点击恶意链接

  ④通过玩网络游戏

  ⑤通过访问受影响的网站

  恶意软件的主要目的是劫持网页浏览器设置,如DNS,设置,主页等,以便尽可能多地将流量重定向到调度器站点。

  稿源:Security Affairs,HackerNews.cc编译整理,封面来源于网络;

  以上为正文内容。

  网堤安全-DDOS、CC攻击防御_防攻击服务器_高防CDN_高防DNS

  转载请注明:网堤安全https://www.ddos.com/

 

 

 

行业资讯 Industry Information

关于我们

About Us