轉(zhuǎn)載自公眾號：擴展迷EXTFANS

11月12日，據(jù)火絨安全實驗室官網(wǎng)公告，近期發(fā)現(xiàn)中國聯(lián)通官方網(wǎng)站的業(yè)務(wù)辦理頁面攜帶木馬腳本，用于向用戶推廣色情APP和游戲，檢測發(fā)現(xiàn)這些域名服務(wù)器均托管在境外。

以下為公告原文：

近期，火絨接到用戶反饋，稱在登錄中國聯(lián)通官網(wǎng)辦理業(yè)務(wù)時被火絨報毒。火絨工程師查看后，發(fā)現(xiàn)中國聯(lián)通官網(wǎng)攜帶木馬腳本（Trojan/JS.Redirector）。

當(dāng)用戶訪問其中某“業(yè)務(wù)辦理記錄”頁面時，即會激活木馬腳本，導(dǎo)致用戶被強行跳轉(zhuǎn)到其他推廣頁面上，推廣內(nèi)容涉及色情、游戲等。

不僅如此，該木馬腳本還被設(shè)定為一天只跳轉(zhuǎn)一次，降低用戶警惕性，以便長期存留于該頁面。

值得注意的是，聯(lián)通官網(wǎng)的移動端和PC端都存在上述木馬腳本，雖然強行跳轉(zhuǎn)現(xiàn)象目前僅出現(xiàn)在移動端，但不排除未來出現(xiàn)在PC端的可能性。

不過火絨用戶無需擔(dān)心，火絨安全軟件可攔截該木馬腳本和網(wǎng)頁。

最后，為避免更多用戶受該木馬腳本影響，我們建議中國聯(lián)通官方盡快排查上述問題。

通過此次事件反映出內(nèi)容審查和安全檢測對官方平臺的重要性，我們也希望能通過此次報告，引起相關(guān)平臺開發(fā)人員、管理人員的重視，及時加強安全審查力度，保障廣大用戶安全。

?

據(jù)擴展迷了解，從火絨的詳細分析報告中，可以看到本次的攻擊者看起來非常謹慎。

比如，該腳本代碼邏輯中控制了用戶每天的訪問次數(shù)，每天僅會訪問一次。

并且，在被植入相同代碼的情況下，只有手機端瀏覽器可以跳轉(zhuǎn)。

因此，如果大家使用桌面瀏覽器訪問該頁面的話，是看不到跳轉(zhuǎn)到廣告頁面的（但如果安裝火絨的話，會跳出攔截提示）。

不過，火絨稱也不排除PC端瀏覽器也會出現(xiàn)相同跳轉(zhuǎn)行為的可能性。

另外，經(jīng)過火絨的進一步溯源發(fā)現(xiàn)，上述木馬腳本早在2016年10月份就已經(jīng)在聯(lián)通官網(wǎng)頁面中出現(xiàn)，這意味著惡意行為已經(jīng)持續(xù)多年。

在當(dāng)時，可能有些用戶就已經(jīng)會偶爾遇到這樣的情況：在訪問網(wǎng)頁時突然被跳轉(zhuǎn)到其他廣告頁面。

相關(guān)頁面情況，如下圖所示：

火絨隨后通過終端威脅情報系統(tǒng)發(fā)現(xiàn)，引用有相同木馬腳本的站點并非只有聯(lián)通官網(wǎng)。

所以上述分析或許可以給用戶遇到類似跳轉(zhuǎn)現(xiàn)場提供參考依據(jù)。

并且，除前文中提到的色情廣告外，現(xiàn)階段監(jiān)測到的部分其他被推廣鏈接，還有各種游戲APP廣告。

需要強調(diào)的是，中國聯(lián)通官方網(wǎng)站的該業(yè)務(wù)辦理頁面，本身已經(jīng)采用HTTPS加密連接。

據(jù)藍點網(wǎng)分析稱，通過劫持的方式插入腳本的概率極低，因此這個木馬腳本很有可能是聯(lián)通服務(wù)器被入侵或者是內(nèi)部人士操作的。

如果大家將來在打開某些官方網(wǎng)站時發(fā)現(xiàn)被跳轉(zhuǎn)到其他奇奇怪怪的頁面，也請

提高警惕。

截止擴展迷本文撰稿時，聯(lián)通官方還未作出回應(yīng)。

來源：

https://www.huorong.cn/info/1605176406524.html

有道無術(shù)，術(shù)可成；有術(shù)無道，止于術(shù)

歡迎大家關(guān)注Java之道公眾號

好文章，我在看??

總結(jié)

以上是生活随笔為你收集整理的中国联通官网被发现含木马脚本，可向用户推广色情APP的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。