详细内容或原文请订阅后点击阅览
SocGholish:虚假更新使访问者面临风险
自 2017 年以来,SocGholish 下载程序一直是几个网络犯罪集团的最爱。它提供了一个伪装成浏览器更新的有效载荷。与任何恶意软件一样,它经历了一个进化过程。我们研究了最新的发展,它针对基于 Wordpress 的网站。
来源:G DATA _恶意软件然后,我们通过使用urlscan.io ----进行分析和报告网站内容和结构的服务来收集有关DNS-Prefetch中链接的域的数据,因此我们将为收集的Keitaro TDS提供详细信息。所有TD都指向一个IP地址:158 [。] 160 [。] 11 [。] 208,被确定为托管在俄罗斯的莫斯科。此IP地址已链接或可能是从其他广告系列中使用的。
urlscan.io 邪恶公司遵循Keitaro TD将带领我们的位置,我们降落在结构和可见网址的以下页面上。我们要做的一切仍然是遵循重定向,然后转到scada [。] paradizeconstruction [。] com,这是社会域。
不幸的是,在分析时无法访问该站点。有些工具可以帮助我们进一步分析的好事。我们使用了另一个工具,该工具是Wayback Machine的Internet存档,该工具具有一个功能,该功能允许用户从不同的时间点搜索和查看网页的存档版本。幸运的是,它已经存档了特定的Socgholish页面。
Wayback Machine的Internet存档从存档页面检索到的源代码指示某些用户配置文件的指纹;导航器界面的WebDriver指示用户代理是否通过自动化控制,高度和宽度的某些维度以及某些鼠标事件(例如鼠标移动)。