趨勢科技最近發現駭客入侵了Gizmodo的巴西網站。攻擊者修改了Gizmodo首頁來加入將訪客導到另一受駭網站的腳本。這第二個被駭網站位在瑞典,使用了.SE網域。攻擊者還上傳一個Webshell到此網站(伺服器在瑞典)以確保對該伺服器的控制。
打開受駭網站會載入一個惡意網址,它包含一個葡萄牙文的假Adobe Flash下載網頁:
圖1、假Flash下載網頁
這檔案事實上是被偵測為BKDR_QULKONWI.GHR的後門程式。(另一個該注意的是,目前的Flash Player版本是14.0.0.145,跟此網頁上的版本相差甚遠。)
此後門程式實際上是放在Google雲端硬碟;現在試著去下載會出現它已達到下載限制的訊息。
圖2、Google雲端硬碟訊息
我們可以看到攻擊者使用一合法服務來誘騙使用者認為所下載的檔案並非惡意。根據我們的調查,另一個網站 – 這一個是物流公司 – 也被類似方式所駭。無論是Gizmodo或這物流公司網站都代管在UOL,這是巴西最大的ISP和內容供應商。我們目前正在調查是否有可以被用來穿透這網頁伺服器。
Gizmodo巴西分公司已經被告知這一威脅,並且立即刪除他們伺服器上被更改的程式碼。此外,我們也通知Google關於位在Google雲端硬碟的惡意檔案,好讓它可以被刪除。趨勢科技產品也可以在各方面來封鎖此一威脅。
此次攻擊相關的檔案雜湊值是:
- cd9efd3652b69be841c2929ec87f3108571bf285
@原文出處:Gizmodo Brazil Compromised, Leads to Backdoor作者:Fernando Mercês(資深威脅研究員)