当前位置:首页-正文

中国联通官方网站被发现携带木马脚本 向用户推广色情APP和游戏等

据火绒安全实验室报道,中国联通官方网站的业务办理页面被发现携带木马脚本用于向用户推广色情APP和游戏。

最初是有用户在中国联通官网办理业务时被火绒拦截,随后用户向火绒安全反馈并在工程师确认后证实网站带毒。

当用户访问该页面时会自动加载木马脚本,该脚本则会连接外部服务器进行通信并根据设置跳转到对应垃圾页面。

分析发现该脚本不仅会跳转到某些游戏的下载页面,甚至还会将用户引导至黄色网站诱导用户下载山寨色情APP。

中国联通官方网站被发现携带木马脚本 向用户推广色情APP和游戏等

某山寨色情APP 众所周知某些网站压根没APP

攻击者看起来非常谨慎:

在模拟后火绒工程师确认联通官网携带木马脚本,而且这个木马脚本还会根据情况进行规避以免被用户发现有鬼。

例如该脚本每天针对用户只跳转一次降低用户警惕性,而脚本则同时被桌面和移动版加载但仅在移动版上起作用。

因此如果使用桌面浏览器访问的话是看不到跳转到广告页面的,但如果安装火绒的话加载该木马脚本时会被拦截。

从页面源代码看恶意脚本被放在中国联通官方网站某个业务办理页面 , 而这个页面本身已经采用HTTPS加密连接。

既然已经被加密所以通过劫持的方式插入脚本的概率极低,很有可能是联通服务器被入侵或者是内部人士操作的。

服务器均托管在境外:

此恶意脚本调用多个域名进行控制,包括hxxp://union1.aubdas.com、hxxp://king.cdncontentdelivery.com。

检测发现这些域名服务器均托管在境外,当进行调用时脚本会根据识别情况然后按照脚本设置执行既定的流程等。

当判断可以跳转到广告网站时才会进行跳转,而跳转的目标网站有多个,包括手机游戏下载网站以及色情APP等。

经过溯源火绒安全实验室发现该恶意脚本早在 2016 年就已经在联通网站出现,这意味着恶意行为已经持续多年。

而引用该恶意脚本的也并非只有中国联通网站,这意味着这背后的黑产团伙已经作案多年并且已经有一定的规模。

当然这个问题也只能联通等遭到该脚本攻击的网站去解决,用户若发现打开某些网站出现异常跳转应该提高警惕。

本文来源蓝点网,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。

相关文章

换一批