美国政府网站托管JS下载器分发Cerber勒索软件
据外媒日前报道,网络安全公司NewSky Security 的研究人员近期发现,一个用来传播勒索软件Cerber的恶意JavaScript下载器被托管到了美国政府网站上,目前无法核实有多少访问者的系统因此而受到了感染。
一、攻击者如何利用托管在政府网站上的恶意下载器发起攻击的
安全研究人员经调查后发现,受害者可能会在此次攻击活动中接收到一个指向.zip文件的页面链接,当受害者点击了该链接后,就会触发恶意JavaScript分发器提取文件里的内容,并启动PowerShell从攻击者的服务器中向受害者设备中下载恶意软件。
实际的恶意软件传播途径是这样的:用户访问了被托管了恶意下载器的政府网站页面后,将会被诱导点击一个页面链接,当受害者点击进入该链接后,就会下载一份与恶意勒索软件Cerber可执行文件有关的gif文档,该文档中主要包含了一款 NSIS 安装程序,用于提取 Cerber JSON 文件配置。
据知情人士透露,该恶意程序代码是在8月30日时候被安全研究人员发现的,但随后几个小时内就被黑客删除了。
二、黑客如何将恶意代码托管到政府网站的
目前,安全研究人员暂时无法查清攻击者究竟是以何种方式将这些恶意代码放置到政府网站上的,同时也无法核查究竟有多少受害者因此而被感染,对于这一系列的谜团,安全研究人员表示会做进一步的调查研究。
同时,该网络安全公司的研究人员认为,该网站之所以遭遇了入侵,可能存在另外一种情况那就是某个政府官员接收到的电子邮件中附件有恶意软件,从而感染了整个网站内部系统。
三、政府网站何以成为黑客待宰的羔羊
我们不难发现,国内外有不少网站成为黑客的攻击目标,攻击者利用各种攻击手段对政府网站入侵后,通过放置蠕虫病毒、垃圾内容、甚至的恶意软件,如同守株待兔一般的等待猎物送上门。
而究其原因,无谓政府网站的是公信力、信任力、权威度的象征,试问,多少在访问政府网站时如果遇到自动下载的文件会将其停止,应该有很多人会等待其下载结束后尝试着打开这个文件一观究竟吧。
当然,还有一个原因就是部分政府网站的防护确实不咋滴,笔者刚刚入行的时候学会了查看源文件,然后在本地的政府网站中查找资料的时候无意中进入到了举报反馈的栏目,然后就查看了源文件,很不幸的是,虽然从网站表面上看,举报信息确实是无法查看的,但在源代码中这些举报信息一览无余,甚至是部分实名举报人的信息也赫然出现在其中,只是不知道,现在这漏洞有没有被修复。