CSDN e muitos outros sites foram invadidos por hackers para espalhar vírus Trojan e sites de phishing. Suspeita-se que o CDN tenha sido atacado.

De acordo com notícias divulgadas pela empresa de segurança de rede Qi'anxin Threat Intelligence Center, Qi'anxin observou recentemente que vários sites, incluindo CSDN, foram hackeados e usados ​​para espalhar vírus Trojan e sites de phishing. O Centro de Inteligência de Ameaças QiAnXin observou um aumento acentuado em nomes de domínio maliciosos relacionados (hxxps://analyzev.oss-cn-beijing.aliyuncs.com) desde o início de setembro, mas nenhuma carga útil efetiva foi observada até o final de setembro, apenas alguns scripts js estranhos.

O nome de domínio mencionado acima é o nome de domínio padrão de armazenamento de objetos OSS fornecido pelo Alibaba Cloud aos clientes, o que significa que os hackers armazenam todos os arquivos maliciosos no Alibaba Cloud OSS para distribuição, possivelmente para evitar a detecção de nomes de domínio.

No final de outubro, os hackers finalmente agiram e puderam observar programas de carga maliciosa, incluindo:

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe

Pelos nomes desses arquivos, podemos ver que os hackers tentaram disfarçar os vírus Trojan como programas de atualização, Flash, etc. Os hackers até imitaram a página de erro do navegador Google Chrome para desenhar um site de phishing de atualização de certificado.

O site abaixo parece relatar um erro do Chrome, mas na verdade é um site de phishing criado por hackers. O Chrome não possui esse prompt:

Observou-se que CSDN se tornou um site Trojan:

Os pesquisadores da equipe Qi’anxin também notaram que os referenciadores que solicitaram os programas maliciosos mencionados acima eram todos conteúdos normais do blog do site CSDN. Com base nos registros relevantes, foi finalmente confirmado que a CSDN havia sido hackeada e os pesquisadores também reproduziram a situação com sucesso.

Este script js introduzido adicionalmente é hxxps://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js. Ou seja, se o site vier com esse script, ele poderá pular para o site de phishing ao acessar o primeiro plano.

É importante notar que não foi apenas a CSDN que foi hackeada, mas muitos sites da indústria e até mesmo sites de governos locais também foram hackeados. Atualmente, Qi Anxin especula que um provedor de CDN usado por esses sites foi atacado. Ou seja, os hackers carregam scripts maliciosos diretamente no site por meio do CDN e, em seguida, usam os scripts maliciosos para entregar sites de phishing e vírus Trojan.

No entanto, Qi'anxin não divulgou este fornecedor de CDN. O software de segurança relacionado à Qi'anxin já pode interceptar esses Trojans para garantir a segurança dos equipamentos terminais.