联通官网携带木马脚本 可向用户推广色情APP

作者: 冬冬 分类: 网络技术,资源分享 发布时间: 2020-11-14 19:53

近期,火绒接到用户反馈,称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后,发现中国联通官网携带木马脚本(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时,即会激活木马脚本,导致用户被强行跳转到其他推广页面上,推广内容涉及色情、游戏等。不仅如此,该木马脚本还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。

v2-8c11528c98ade6a1fdfda2c11deaba1d_720w

值得注意的是,联通官网的移动端和PC端都存在上述木马脚本,虽然强行跳转现象目前仅出现在移动端,但不排除未来出现在PC端的可能性。火绒用户无需担心,火绒安全软件可拦截该木马脚本和网页。

v2-1f07f9e25041db4a3f9f81ff319a7002_720w

最后,为避免更多用户受该木马脚本影响,我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性,我们也希望能通过此次报告,引起相关平台开发人员、管理人员的重视,及时加强安全审查力度,保障广大用户安全。

附:【分析报告】

一、 详细分析

近期根据用户反馈,我们对联通官网中某页面代码进行分析,发现该页面中被植入了木马脚本(Trojan/JS.Redirector),该木马脚本逻辑执行后会控制用户当前页面跳转到色情、游戏等广告页面。脚本代码逻辑中控制了每天的访问次数,每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时,也会对用户每天的访问次数进行限制。现阶段我们发现,在被植入相同代码的情况下,只有手机端浏览器可以复现跳转过程(控制服务器可能针对浏览器UA进行了判断),但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程,如下图所示:

v2-e4ea58382ff1a1f938ebbe508b8bfe23_720w
跳转流程

跳转到的色情APP广告,如下图所示:

v2-8c11528c98ade6a1fdfda2c11deaba1d_720w

联通官网“业务办理记录”页面代码,如下图所示:

v2-63cb21aaff4efe38c86dcc3e7cdbf1d1_720w
联通官网“业务办理记录”页面代码

上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容,之后控制当前页面进行跳转。tj1.js脚本内容,如下图所示:

v2-3e34f7e392ae0f84e2a40ed569999a95_720w
请求tj1.js脚本内容

脚本内容,如下图所示:

v2-7322c021f24fafe40d067e8a38c61c38_720w
木马脚本内容

链接存放页面返回结果,如下图所示:

v2-b60739effbce263ff57fca3a0cc6d1e8_720w
代码执行流程

后续跳转流程,依次如下图所示:

v2-7459363424f55023374f9627b2ee5d38_720w
第一次跳转
v2-1aadedd05590ed650f6c81abf9397391_720w
第二次跳转
v2-4842c109caec7044d7b3ac24fd848513_720w
第三次跳转
v2-e154d5ebca45e1650b7e14ad004e00bb_720w
第四次跳转
v2-b55137c87bf3737af9abc5c59c8debdb_720w
最终跳转到色情APP广告页面

经过我们进一步溯源,上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况,如下图所示:

v2-85f33bc8a42f2d4d813f36441e98b893_720w
历史页面内容

有些用户可能会偶尔遇到,在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现,引用有相同木马脚本的站点并非只有联通官网,所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外,现阶段监测到的部分其他被推广链接,如下图所示:

v2-0e4a9556d3ce8e0e724bf963c4572d9a_720w
游戏广告
v2-4d401bc728217047aef2e557e17226aa_720w
色情APP广告

二、 附录

样本hash

v2-f94061023fedaa32cdb54d92e5237934_720w

 

如果觉得我的文章对您有用,请随意赞赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注