基于奇安信全球鹰测绘数据,国内大量网站正文页面中包含该恶意域名,其中包含政府、互联网、媒体等网站:
https://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js
所涉及的域名均挂有 CDN,对应IP也都为 CDN 节点,由于我们缺乏大网数据,只能推测 CDN 厂商疑似被污染。jquery-statistics.js 解混淆后逻辑如下:
获取本机的 IP 与内置的IP列表进行比对,如果匹配成功,则跳转到下一个 js,该 js 主要用来钓鱼,页面如下:
赶快去自查!!!!
赶快去自查!!!!
赶快去自查!!!!
国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首? - 安全内参 | 决策者的网络安全知识库