来自 数据 2022-06-05 02:00 的文章

cdn防御_绍兴高防_零元试用

cdn防御_绍兴高防_零元试用

为我点击,谢谢!

社交网站对于那些想将自己的想法货币化的人来说是非常棒的。但有时这些想法更为险恶。

在过去的几周里,布拉格Avast antivirus实验室的研究人员发现了基于社交网站组合的新攻击,假冒Flash播放器和好莱坞著名明星的非法视频承诺。

许多用户抱怨说,他们的Twitter和Facebook账户正在传播链接,邀请人们观看好莱坞明星克里斯滕·邓斯特的一部明确的"家庭电影"。当然没有这样的电影,但是这个链接将用户发送到一个虚假的"Facebook风格"网站,让用户相信他们可以下载电影和各种图片。假冒的"facebook风格"网站也有其他假定的facebook用户的评论支持。

但是,百度云cc防御,如果访问者点击视频,内网ddos怎么防御,会弹出警告,声称他们的Flash播放器过期,并提示下载更新。这是一个社会工程攻击的完美例子,因为它设置了一个诱饵,然后要求进行无害的更新,这需要用户交互来推进攻击。我们还看到了一大批看起来合法的色情网站,它们充当其他视频网站的代理,ddos防御问题,只是用同样的假冒Flash Player链接替换视频。

在这种情况下,所谓Flash Player的更新应该立即敲响一些警钟,ddos360防御,因为它不是数字签名的,来自未经验证的作者,并且有可疑的源链接。如果用户安装了假更新,假定的视频仍然不提供,因为它不存在。相反,由于假冒Flash Player的感染,攻击者实际上将用户变成了访问这些网站的无意僵尸。

此攻击旨在通过点击欺诈赚钱,但同样的想法也可用于更危险的事情,如散布密钥记录者以截获在线交易的关键凭证。我们的建议是,如果您收到Flash或其他浏览器插件的更新,请停止,手动浏览到合法的开发人员站点并从那里获取(如果您需要)。在Flash的情况下,更新可以从安全的网站免费获得。

攻击从Facebook和Twitter上的帖子开始。创造者可能创建了几个假帐户并开始发布链接,或者看起来,受感染的用户也可以在不知情的情况下发布此类链接。

我们发现有两种链接。其中一个链接指向类似的站点。运行此可执行文件会写入运行密钥内。这个文件是一个点击器,它下载要点击的目标URL列表。

第二种方式有点不同。用户被重定向到。我们发现了三种不同的可能性-id=1表示Firefox(XPI插件)的有效负载,id=2表示Google Chrome(CRX插件),id=3表示i.exe(MSIE BHO),

此Firefox插件(以及Chrome插件)包含由Dean Edwards packer打包的脚本。运行后,网页cc防御功能破解版,该脚本更改Firefox配置中的一些设置,如下图所示

它在其中设置了几个新变量。所有这些新值都是从TestAddon开始的。有两个网站隐藏在其中两个变量的加密下-TestAddon.buri什么是链接和回退地址。用户的guid在TestAddon.guid中设置。它是32个字符长的十六进制字符串。

在这些网站上是带有链接的脚本,如。

我们在js_f.php中发现了两种不同的内容。第一个用于通过无辜用户传播这种攻击。该脚本更新了受害者的FB和twitter状态。它在他们的状态语句中发送"Kirst*en"。Dunst ma**********g在隐藏的摄像头上,"它发生在美国鸟巢"并链接到bit.ly/MT**4S->并从中添加状态为的图像[隐藏].jpg.

用于重定向用户下载假冒Flash Player。这个脚本有一些有趣的功能。它可以通过向发送http请求来解决验证码问题。它窃取Facebook用户的会话令牌,并具有自动喜欢FB页面的功能。它还可以用文本更新状态,并链接到"LOL麦莉赛勒斯被发现有s3x"http://tol.co/**". 然后,它就像第二个版本的js_f.php一样工作。

第二个发现的js_f.php包含指向[HIDDEN]/search/anticheat6.php?username=foreste的链接-我们发现了许多不同的此类网站。

从这些网站浏览器接收插入到隐藏iframe中的网站列表,在浏览器中的每次点击都会提供这些链接。这样做的目的是为了给恶意软件的创建者带来经济利益。

对于id=3的假冒Flash播放器提供下载。我们发现该文件有许多不同的名称,如i.exe、FlashPlayer.exe等。安装后,该文件为BHO(). 它与其他ID在同一模型上工作。唯一的区别是,向r5.php中的站点发送请求是base64编码脚本。

解码后有以下datablob:

在jstest.js中有许多指向不同站点的链接,用户的浏览器会访问这些站点,攻击者会从点击中获利。此文件生成随机名称的dll文件,如果用户是管理员,则会放入系统目录,否则会放入临时目录。

总之:几乎每天都在更改的大量web插件和更新会诱使普通用户下载恶意应用程序,而不会意识到这一点。攻击者试图使这些虚假更新看起来真实,很难区分它们之间的区别。虽然这个例子对用户来说并不是很危险,但同样的技术也可以用于更多的恶意目的。还值得注意的是,除了可执行文件外,没有检测到此恶意软件的其他AV产品。这是AV公司和测试人员的一个已知问题,他们仍然倾向于只测试二进制文件,而不是整个感染链(在这种恶意软件的情况下,Firefox/Chrome不需要可执行文件。)

各种模块如何互连的简单图表:

用于攻击的URL列表

一些VT链接,带有各种模块的检测统计信息模块:

y.exe

Firefox(XPI)的有效负载附加组件)

谷歌浏览器(CRX)的有效负载附加组件)

Microsoft Internet Explorer(MSIE)的有效载荷BHO)

j.php

js_f.php-无FB功能

js_f.php-带FB功能性