去年12月,Media Trust的数字安全与运营(DSO)团队发现了一个恶意软件,它在黑客劫持网站的第三方工具后执行的,这些工具的设计目的是整合交互式网页内容,例如HTML5动画。这些第三方工具通常由自助服务机构预先加载到客户端平台上。该恶意软件影响了The Media Trust的100多个客户,包括零售、医疗保健和其他各种行业的知名出版商和电子商务企业。
恶意软件被Media Trust命名为“ICEPick-3PC”(对用于建立RTC对等连接的ICE协议的点头),恶意软件对用户代理,设备类型,设备是否为Android设备,电池级别,设备动作等进行常规检查。有趣的是,对引用者的检查是为了避免类似Media Trust旗下的已知恶意软件扫描程序,在18年秋天在另一个恶意软件中观察了对电池电量的检查。ICEPick-3PC似乎针对Android设备,这可能是因为它们特定于开源的漏洞是已知的。一旦恶意软件确定它已经感染了Android设备并通过了其他检查,它就会在受感染的设备和远程设备之间建立RTC对等连接,然后将提取的设备IP发送到远程设备。
被妥协的网站未来可能实现攻击
当用户访问带有受损第三方库的网站时,在下载之前恶意软件会检查用户设备。IP的提取和收集代表了迄今为止DSO迄今为止观察到的最大规模的IP盗窃,标志着恶意软件开发的重大进步,因为以这种效率窃取IP需要高超的编码技能。但是现在,这种恶意软件已经克服了这些障碍,甚至为了拦截IP突破了VPN,它使不良行为者能够识别用户的设备漏洞,为利用目标和未来潜在的攻击提供了更多可能。
该恶意软件的发展早期可追溯到2018年春天,当时它被用来向设备所有者发送重定向到网络钓鱼内容,以祝贺他们(虚假消息)赢得沃尔玛或亚马逊卡并提示他们输入敏感信息,直接进入恶意的命令和控制服务器。随着时间的推移,恶意软件获得了新的功能,可以在隐身和持久性方面开辟新的道路,可用来为攻击者的政治和经济利益锁定用户。
鉴于恶意软件的复杂程度和先进技术,DSO怀疑它可能是来自有组织的网络犯罪者的黑产代码。如果是这样,广告出版商和电商企业将可能面临更大规模的攻击,或者将发生用户信息的非法交易。
针对CEPick-3PC的安全建议
大多数违规的自助服务机构使用GreenSock动画平台(GSAP),这是一个用于HTML5动画的JavaScript工具库。恶意代码被注入到GSAP最受欢迎的工具之一TweenMax和另一套工具CreateJS中,而自助服务机构则在网站上实现这些库。恶意广告的投放会触发重定向。
为了保护网站免受此恶意软件的侵害,发布商和电子商务企业应彻底审查与其合作的自助服务机构,以避免出现安全漏洞并避免重复违规。他们还可以通过扫描交互式广告和网站页面来检测未经授权的代码。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
