2025年2月20日，網(wǎng)絡安全領域發(fā)生了一起大規(guī)模入侵事件，超過3.5萬個網(wǎng)站遭到攻擊，攻擊者在這些網(wǎng)站中植入了惡意腳本，完全劫持用戶的瀏覽器窗口，并將其重定向至中文賭博平臺。此次攻擊主要針對使用中文的地區(qū)，最終落地頁推廣的是名為“Kaiyun”的賭博內(nèi)容。

一、攻擊手段解析

1. 惡意腳本的植入與加載

c/side網(wǎng)絡安全研究人員發(fā)現(xiàn)，攻擊者通過在受感染網(wǎng)站的源代碼中插入一行簡單的腳本標簽來實施攻擊。該腳本隨后會加載更多的惡意代碼。初始感染始于插入的腳本標簽，其引用的域名包括zuizhongjs[.]com、mlbetjs[.]com、ptfafajs[.]com等。

例如，以下代碼被注入到數(shù)千個網(wǎng)站中：

受感染網(wǎng)站中注入的惡意腳本代碼（來源：Cside）

一旦加載，初始腳本會創(chuàng)建另一個腳本元素，從類似deski.fastcloudcdn[.]com的域名中獲取更多惡意代碼。這些代碼使用了設備檢測技術，并在500至1000毫秒之間隨機延遲，以規(guī)避自動化的安全掃描工具。

2. 瀏覽器窗口的完全劫持

此次攻擊最令人擔憂的是其對瀏覽器窗口的完全控制。研究人員指出，惡意腳本會注入代碼，生成一個全屏的iframe，將原始網(wǎng)站內(nèi)容替換為攻擊者的賭博平臺。代碼創(chuàng)建了一個覆蓋整個屏幕的div元素，并從類似“https://www.zuizhongjs[.]com/go/kaiyun1/ky.html”的URL加載內(nèi)容。

全屏劫持行為，將用戶重定向至中文賭博網(wǎng)站（來源：Cside）

二、攻擊流程與防范建議

1. 多階段攻擊的實施

此次攻擊通過多個階段的代碼執(zhí)行來實現(xiàn)。在初始腳本加載后，攻擊者使用JavaScript函數(shù)檢測用戶的設備類型，判斷是否為移動設備或特定操作系統(tǒng)（如iOS）。這使惡意內(nèi)容的投放更具針對性。例如，代碼包含了isMobile()和getIosVersion()等函數(shù)，以針對特定設備定制有效載荷。

腳本隨后創(chuàng)建一個meta viewport標簽，確保惡意內(nèi)容填滿整個屏幕，使用戶無法訪問原始網(wǎng)站。負責創(chuàng)建全屏覆蓋的代碼片段包括document.write語句，該語句注入HTML和CSS，將iframe絕對定位在整個頁面上。

2. 高級過濾機制

部分攻擊變種還被觀察到實施了基于地區(qū)的過濾機制，根據(jù)用戶的IP地址顯示不同內(nèi)容，某些用戶會看到一條訪問被阻止的消息，并被告知聯(lián)系所謂的支持渠道。這種復雜的過濾機制可能是為了減少安全研究人員的曝光或降低惡意域名的流量。

3. 安全建議

安全專家推測，此次攻擊可能與Megalayer漏洞有關。網(wǎng)站所有者應審核其源代碼，查找未經(jīng)授權的腳本標簽，通過防火墻規(guī)則屏蔽惡意域名，定期檢查未經(jīng)授權的文件修改，實施內(nèi)容安全策略限制，并使用PublicWWW或URLScan等工具頻繁掃描網(wǎng)站，以發(fā)現(xiàn)惡意注入。

通過采取這些措施，網(wǎng)站所有者可以更好地保護其平臺免受類似攻擊的侵害。