请选择 进入手机版 | 继续访问电脑版
  • 客服①

  • 客服②

热门帖子
互联网黑灰产业链第一媒体 创始人:奇衡三 专注资源-人脉共享-项目合作-流量变现 大
『论坛公告』 2020-10-08
互联网的道路艰难而又漫长 回忆了一下这些年的网络经历 我是一个普通人家的孩子,人生
『论坛公告』 2020-10-01
这次还是真的开车。 作为一名老司机,自驾出行的趣味性 是任何一种交通工具都代替不
『软件工具』 2020-11-03
常常听到有很多网友问到 电视剧情节里出现的暗网是什么?新闻里面说的的暗网是什么?
『网络黑白』 2020-10-03
近日,奇安信病毒响应中心在日常黑产挖掘过程中发现 一种利用支付宝支付和微信支付进
『网络黑白』 2020-10-03

联通官网携带木马脚本,可向用户推广成人APP

[复制链接]
奇衡三 显示全部楼层 发表于 2020-11-21 13:36:08 |阅读模式 打印 上一主题 下一主题
近期,火绒接到用户反馈
称在登录中国联通官网办理业务时被火绒报毒。
火绒工程师查看后,发现中国联通官网携带木马脚本
(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时
即会激活木马脚本,导致用户被强行跳转到其他推广页面上
推广内容涉及色情、游戏等。不仅如此,该木马脚本
还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。


值得注意的是,联通官网的移动端和PC端
都存在上述木马脚本,虽然强行跳转现象目前仅出现在移动端
但不排除未来出现在PC端的可能性。
火绒用户无需担心,火绒安全软件可拦截该木马脚本和网页。


最后,为避免更多用户受该木马脚本影响
我们建议中国联通官方尽快排查上述问题。
通过此次事件反映出内容审查和安全检测对官方平台的重要性
我们也希望能通过此次报告,引起相关平台开发人员
管理人员的重视,及时加强安全审查力度,保障广大用户安全。

附:【分析报告】
一、详细分析
近期根据用户反馈,我们对联通官网中某页面代码进行分析
发现该页面中被植入了木马脚本(Trojan/JS.Redirector)
该木马脚本逻辑执行后会控制用户当前页面跳转到色情
游戏等广告页面。脚本代码逻辑中控制了每天的访问次数
每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时
也会对用户每天的访问次数进行限制。现阶段我们发现
在被植入相同代码的情况下,只有手机端浏览器可以复现跳转过程
(控制服务器可能针对浏览器UA进行了判断)
但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程,如下图所示:


跳转到的色情APP广告,如下图所示:
[img]%5Bimg=981,1080%5Dhttps://dadiao88.com/images/2020/11/21/91.webp[/img][/img]

联通官网“业务办理记录”页面代码,如下图所示:


上图中的tj1.js木马脚本会先向控制服务器
地址请求跳转相关的网址链接内容
之后控制当前页面进行跳转。tj1.js脚本内容,如下图所示:


脚本内容,如下图所示:


后续跳转流程,依次如下图所示:
第一次跳转


第二次跳转


第三次跳转


第四次跳转


最终跳转到色情APP广告页面


经过我们进一步溯源,上述木马脚本
早在2016年10月份就已经在联通官网
页面中出现。相关页面情况,如下图所示:


有些用户可能会偶尔遇到,在访问网页时
突然被跳转到其他广告页面的情况。
我们通过火绒终端威胁情报系统发现,引用有相同木马脚本的站点
并非只有联通官网,所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。
除前文中提到的色情广告外,现阶段监测到的部分其他被推广链接,如下图所示:


回复

使用道具 举报

分享
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

王者论坛是一个火爆的互联网行业交流社区
集新闻、资讯、行情、数据、技术、项目等等产业
成为众多互联网行业爱好者交流火爆的社区
我们追求及时、全面、专业、准确的资讯与数据
致力于为互联网创业者提供最好的服务
  • 官方QQ群

  • 微信公众号

  • Powered by 王者论坛 | www.wz888.net | 王者创业论坛
  • 营业执照 |网站地图 | |王者网络科技有限公司|鲁ICP备19001237号-21|鲁公网安备 4236902302000354号 QQ