CSDN等多个网站被黑客挂马用来传播木马病毒和钓鱼网站疑似CDN被攻击

蓝点网 · 公众号 · · 2024-12-13 13:23

正文

#安全资讯 CSDN 等多个网站遭到黑客挂马向用户投放钓鱼网站和木马病毒，奇安信推测可能是上游 CDN 厂商遭到黑客攻击。黑客将恶意脚本托管在阿里云 OSS 默认域名商，然后通过 CDN 向使用该 CDN 的网站进行投毒，用户访问时则会被带到钓鱼网站被诱导下载恶意软件。查看全文：https://ourl.co/107043

据网络安全公司奇安信威胁情报中心发布的消息，日前奇安信观察到包括 CSDN 在内的多个网站遭到黑客挂马，用来传播木马病毒和钓鱼网站等。

奇安信威胁情报中心从 9 月初观察到相关恶意域名 (hxxps://analyzev.oss-cn-beijing.aliyuncs.com) 陡增，但持续到 9 月底都没有观察到可以的 paylod，只有些奇怪的 js 脚本。

上面提到的这个域名是阿里云面向客户提供的 OSS 对象存储默认域名，即代表着黑客将恶意文件全部存放在阿里云 OSS 中用于分发，可能也是为了规避域名检测。

到 10 月底时黑客终于有了动作并可以观察到恶意的 payload 程序，包括：

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe

从这些文件名称可以看到黑客试图将木马病毒伪装为更新程序、Flash 等，甚至黑客还模仿 Google Chrome 浏览器的报错页面绘制了证书更新钓鱼网站。

下面这个网站看起来好像是 Chrome 报错的，但实际上是黑客制作的钓鱼网站，Chrome 并没有这样的提示：