隐藏在浏览器背后的“黑手”(3)

该文件是真正实现恶意行为的代码，这部分代码没有经过混淆、加密，也没有加入其他无意义的代码干扰分析，可以很清晰地看到其恶意行为：

获取当前页面Cookie，ck参数；

获取当前页面Referrer；

获取当前页面Location；

使用XMLHttpRequest将获取到的数据发送到：

；

利用onSuccessCallback方法进行跳转。

至此实现了将Cookie发送到远端接收地址，后续通过onSuccessCallback返回内容完成跳转，完整流程：

通过上述特征，发现大量与Lnkr木马相关的域名和插件，部分并未出现在已知的威胁情报中，经进一步分析发现，移动终端设备也有触发恶意请求的情况。

除此之外我们也发现国内多个大型站点在自身引用资源上引入了Lnkr木马，用户如果访问到这些站点，Cookie信息会被直接发送到远端，存在极高的安全风险。针对站点自身存在恶意资源的这类情况，极有可能是攻击者利用Broken Link Hijacking的攻击手法，对过期域名进行抢注，站点在访问原有资源时被劫持到恶意资源。

以下列举了此次检测发现的恶意域名：

mirextpro.com

browfileext.com

nextextlink.com

lisegreen.biz

makesure.biz

clipsold.com

comtakelink.xyz

protesidenext.com

promfflinkdev.com

rayanplug.xyz

countsource.cool

blancfox.com

skipush1.bbn.com.cn

donewrork.org

loungesrc.net

higedev.cool

s3.amazonaws.com/cashe-js/

s3.amazonaws.com/js-cache/

s3.amazonaws.com/jsfile/

s3.amazonaws.com/cashe-js/

cdngateway.net (接收Cookie域名)

sslproviders.net (接收Cookie域名)

cdncontentdelivery.com (接收Cookie域名)

排查到包含Lnkr木马特征的恶意插件：

部分恶意插件截图：

Lnkr木马的核心域名之一cdngateway.net在全球域名流量排名8900位，从流量来源角度，通过外部网站跳转带来的流量占比总流量的65.48%，可见其攻击范围极广，受其影响的应用、用户数量也是非常庞大的。