2025年2月20日，網(wǎng)絡(luò)安全領(lǐng)域發(fā)生了一起大規(guī)模入侵事件，超過(guò)3.5萬(wàn)個(gè)網(wǎng)站遭到攻擊，攻擊者在這些網(wǎng)站中植入了惡意腳本，完全劫持用戶(hù)的瀏覽器窗口，并將其重定向至中文賭博平臺(tái)。此次攻擊主要針對(duì)使用中文的地區(qū)，最終落地頁(yè)推廣的是名為“Kaiyun”的賭博內(nèi)容。

一、攻擊手段解析

1. 惡意腳本的植入與加載

c/side網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，攻擊者通過(guò)在受感染網(wǎng)站的源代碼中插入一行簡(jiǎn)單的腳本標(biāo)簽來(lái)實(shí)施攻擊。該腳本隨后會(huì)加載更多的惡意代碼。初始感染始于插入的腳本標(biāo)簽，其引用的域名包括zuizhongjs[.]com、mlbetjs[.]com、ptfafajs[.]com等。

例如，以下代碼被注入到數(shù)千個(gè)網(wǎng)站中：

受感染網(wǎng)站中注入的惡意腳本代碼（來(lái)源：Cside）

一旦加載，初始腳本會(huì)創(chuàng)建另一個(gè)腳本元素，從類(lèi)似deski.fastcloudcdn[.]com的域名中獲取更多惡意代碼。這些代碼使用了設(shè)備檢測(cè)技術(shù)，并在500至1000毫秒之間隨機(jī)延遲，以規(guī)避自動(dòng)化的安全掃描工具。

2. 瀏覽器窗口的完全劫持

此次攻擊最令人擔(dān)憂的是其對(duì)瀏覽器窗口的完全控制。研究人員指出，惡意腳本會(huì)注入代碼，生成一個(gè)全屏的iframe，將原始網(wǎng)站內(nèi)容替換為攻擊者的賭博平臺(tái)。代碼創(chuàng)建了一個(gè)覆蓋整個(gè)屏幕的div元素，并從類(lèi)似“https://www.zuizhongjs[.]com/go/kaiyun1/ky.html”的URL加載內(nèi)容。

全屏劫持行為，將用戶(hù)重定向至中文賭博網(wǎng)站（來(lái)源：Cside）

二、攻擊流程與防范建議

1. 多階段攻擊的實(shí)施

此次攻擊通過(guò)多個(gè)階段的代碼執(zhí)行來(lái)實(shí)現(xiàn)。在初始腳本加載后，攻擊者使用JavaScript函數(shù)檢測(cè)用戶(hù)的設(shè)備類(lèi)型，判斷是否為移動(dòng)設(shè)備或特定操作系統(tǒng)（如iOS）。這使惡意內(nèi)容的投放更具針對(duì)性。例如，代碼包含了isMobile()和getIosVersion()等函數(shù)，以針對(duì)特定設(shè)備定制有效載荷。

腳本隨后創(chuàng)建一個(gè)meta viewport標(biāo)簽，確保惡意內(nèi)容填滿(mǎn)整個(gè)屏幕，使用戶(hù)無(wú)法訪問(wèn)原始網(wǎng)站。負(fù)責(zé)創(chuàng)建全屏覆蓋的代碼片段包括document.write語(yǔ)句，該語(yǔ)句注入HTML和CSS，將iframe絕對(duì)定位在整個(gè)頁(yè)面上。

2. 高級(jí)過(guò)濾機(jī)制

部分攻擊變種還被觀察到實(shí)施了基于地區(qū)的過(guò)濾機(jī)制，根據(jù)用戶(hù)的IP地址顯示不同內(nèi)容，某些用戶(hù)會(huì)看到一條訪問(wèn)被阻止的消息，并被告知聯(lián)系所謂的支持渠道。這種復(fù)雜的過(guò)濾機(jī)制可能是為了減少安全研究人員的曝光或降低惡意域名的流量。

3. 安全建議

安全專(zhuān)家推測(cè)，此次攻擊可能與Megalayer漏洞有關(guān)。網(wǎng)站所有者應(yīng)審核其源代碼，查找未經(jīng)授權(quán)的腳本標(biāo)簽，通過(guò)防火墻規(guī)則屏蔽惡意域名，定期檢查未經(jīng)授權(quán)的文件修改，實(shí)施內(nèi)容安全策略限制，并使用PublicWWW或URLScan等工具頻繁掃描網(wǎng)站，以發(fā)現(xiàn)惡意注入。

通過(guò)采取這些措施，網(wǎng)站所有者可以更好地保護(hù)其平臺(tái)免受類(lèi)似攻擊的侵害。