3 Yıllık JS Enjeksiyon Kampanyası 51.000 Web Sitesini Hedefliyor


Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Dolandırıcılık Risk Yönetimi

2022’de Zirveye Ulaşan Kampanya, Gizleme Taktiklerini Kullanarak Web Sitelerini Etkilemeye Devam Ediyor

Prajeet Nair (@prajeetspeaks) •
25 Mart 2023

3 Yıllık JS Enjeksiyon Kampanyası 51.000 Web Sitesini Hedefliyor

İlk olarak 2020’de tespit edilen ve devam eden yaygın bir kötü amaçlı JavaScript enjeksiyon kampanyası, 51.000’den fazla web sitesini hedefleyerek kurbanları reklam yazılımı ve dolandırıcılık sayfaları gibi kötü amaçlı içeriğe yönlendirdi.

Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?

Birim 42 araştırmacıları, 2022 yılına kadar bu etkinliği izliyor ve 2023’te web sitelerini etkilemeye devam ediyor. Kampanyanın “bu virüslü yüzlerce web sitesi Tranco’nun en iyi milyon web sitesi arasında yer aldığından, çok sayıda insanı etkilediğinden” şüpheleniyorlar.

Kurbanlar genellikle bir reklam yazılımına veya dolandırıcılık sayfasına yönlendirilir, çoğunlukla iyi bilinen bir video paylaşım platformu kılığına girer veya kurbanları kandırarak saldırganların kontrolündeki bir web sitesine tarayıcı bildirimleri göndermesine izin veren aldatıcı içerikler sunar.

Araştırmacılar, “Bu kampanyanın, kötü amaçlı web sayfalarına yönlendirmeden önce çok adımlı enjeksiyonlar gerçekleştirmesi nedeniyle çok yönlü olduğunu da bulduk” dedi ve “algılamaları atlatmak için şaşırtma ve zararsız ekleme saldırıları kullandığını” ekledi.

Kampanya Ayrıntıları

Kampanyanın ilk örneği 2020 yılında gözlemlendi ve bu kampanyanın son varyantları 2022-23 Ocak tarihleri ​​arasında takip edildi.

Araştırmacılar, 2022’nin başından bu yana 51.000 ana bilgisayar adına ait tahmini 170.000 URL’de kötü amaçlı yazılım tespit etti.

Kampanya, araştırmacıların günlük ortalama 4.000 URL tespit ettiği Mayıs ve Ağustos 2022 arasında zirveye ulaştı. Ocak ayında araştırmacılar, 14.773 cihazda bu web sitelerinden yaklaşık 240.000 oturumu engellediklerini söylediler.

Kampanya, algılamayı atlamak için gizleme, büyük zararsız dosyalara kod ekleme ve çok adımlı enjeksiyonlar dahil olmak üzere çeşitli teknikler kullanır.

Gizlemede, enjekte edilen JS kodu, algılamayı atlamak için kötü amaçlı yükü gizlemek üzere karartıldı. Bu kod, kötü amaçlı JS’yi yüklemek için kullanılan harici URL’yi gizler ve onu belge nesne modeline ekler.

Tehdit aktörleri, büyük zararsız dosyalara kod eklerken, güvenlik tarayıcıları tarafından tespit edilmekten kurtuldu.

Araştırmacılar tarafından gözlemlenen örneklerde, büyük JS dosyalarına enjekte edilen kötü amaçlı JS kodu, iyi huylu ekleme saldırılarının canlı algılama örneklerine benziyordu.

Yukarıdaki tüm durumlarda araştırmacılar, enjekte edilen JS kodunun, saldırgana kötü amaçlı yükü değiştirme yeteneği veren belge nesne modelini manipüle ederek harici kötü amaçlı JS kodunu eklediğini gözlemledi.

Araştırmacılar, “Bu kampanyanın daha yeni bir çeşidi, bir web sitesine kötü amaçlı JS kodu enjekte ediyor. Ardından, kurbanları kötü amaçlı bir web sayfasına yönlendiren bir yükü yüklemeden önce bir dizi ara JS enjeksiyonu gerçekleştiriyor” diyor. “Farklı web sitelerinden JS enjeksiyonlarını dahil etmenin bir nedeni, JS’yi yükleyen URL’nin güvenlik tarayıcıları tarafından kara listeye alınması durumunda, saldırganların son yükü yükleyen URL’yi değiştirmeye devam etmek istemesi olabilir.”

Son yük, son dolandırıcılık web sayfasına inmeden önce kurbanları farklı web sitelerine yönlendirdi.

Unit42 araştırmacıları, savunmasız içerik yönetim sistemi eklentileri nedeniyle çok sayıda web sitesinin güvenliğinin ihlal edilmiş olabileceğinden şüpheleniyor. Araştırmacılar, istismar edilen 51.000 web sitesinin yaklaşık dörtte üçünün popüler, isimsiz bir CMS kullandığını gözlemledi.

“Enjekte edilen kötü amaçlı JS kodu, tespit edilen web sitelerinin yarısından fazlasının ana sayfasına dahil edildi. Kampanya operatörleri tarafından kullanılan yaygın bir taktik, güvenliği ihlal edilmiş sitelerin ana sayfalarında yer alması muhtemel, sık kullanılan JS dosya adlarına kötü amaçlı JS kodu enjekte etmekti. web siteleri, “diyor araştırmacılar.

Bu taktik, saldırganların web sitesinin ana sayfasını ziyaret etme olasılığı daha yüksek olan meşru web sitesi kullanıcılarını hedef almasına yardımcı oldu.





Source link