Вредоносный домен злоупотребляет службой сокращения URL is.gd: укороченные URL-адреса вводились в таблицу сообщений базы данных WordPress клиента.
Злоупотребление сокращениями URL является распространенным методом для поиска реального источника вредоносных программ.
Всякий раз, когда зараженная страница WordPress загружается, фактическое содержание скрыто за is.gd укорочение, которое получает содержание от поддельного домена. Google: fonts[.]googlesapi[.]com
Поддельный домен Google используется в попытках ввести в заблуждение
С точки зрения даты регистрации (2018-11-27), этот домен не является чем-то новым. Его внешний вид очень близок к законному URL-адресу Google, который используется на многих сайтах, и на первый взгляд может легко остаться незамеченным веб-мастером.
Поддельный домен использует те же точные символы, что и законный Google Fonts URL; он просто перестраивает«s»,делая его еще менее подозрительным для беглых взглядов, так как он не вызывает опечатки.
GOOD: fonts[.]googleapis[.]com
BAD: fonts[.]googlesapi[.]com
Черный список Подробная информация
Эффективность этого вредоносного домена еще больше повышается за счет его явно низкого использования. На момент написания статьи этот домен еще не был внесен в черный список любыми другими поставщиками на VirusTotal.
Вредоносный поддельный домен Google пытался загрузить вредоносные программы из старого домена, wordprssapi. com, который впервые упомянули в 2017 .
Украденные файлы cookie переданы во вредоносный домен
Эта конкретная вредоносная программа была использована для кражи данных реферального трафика cookie с веб-сайтов, которые использовали конкретные популярные программы аффилированного маркетинга.
Вредоносный код сначала проверяет, если имя cookie _utmzz уже существует с помощью свойства document.cookie.indexOf. Затем он проверяет, чтобы убедиться, что посетитель не является ботом или краулером, например, Googlebot.
Если чеки пройдены, JavaScript отправляет файлы cookie браузера посетителя на вредоносный домен. Он также генерирует файл cookie с именем, которое он ранее проверил, "_utmzz", срок действия которого истекает в течение 1 дня (86400000 миллисекунд).
Заключение
Даже если поддельные fonts.googlesapi. сом и wordprssapi. сом домены, найденные в этой кампании были законными, отправка файлов cookie всегда должна поднимать красный флаг для владельцев веб-сайтов - они содержат огромное количество личной информации, которая не должна быть общей.
При проверке кода проявите осторожность и проверьте наличие законных доменов. Злоумышленники обычно используют поддельные домены и опечатки в своих кампаниях, чтобы избежать обнаружения и запутывать свои вредоносные программы и скрипты.
Службы мониторинга веб-сайта и могут помочь вам оставаться на лучших позициях и ловить угрозы для Вашего веб-сайта на ранней стадии.
Предупреждение: Вся информация представлена исключительно в образовательных целях.
Дополнительная информация и статьи
