電子賀卡網站GroupGreeting遭遇zqxq攻擊

隨著新的一年到來，許多企業組織都會透過電子賀卡表達祝福，但也有攻擊者伺機而動，利用相關平臺散布惡意程式。

資安業者Malwarebytes揭露名為Zqxq的攻擊行動，駭客針對電子賀卡網站GroupGreeting下手，散布ndsw及ndsx型態的惡意軟體，根據調查，GroupGreeting約有超過2,800個網站受到類似的惡意程式碼攻擊，隨著聖誕節及新年的使用量增加，使得攻擊者有機可乘，能暗中在網頁注入惡意程式，使得想要接受祝福的使用者成為目標。GroupGreeting接獲通報後，已著手處理。

研究人員指出，攻擊者在受害網站注入經混淆處理的JavaScript程式碼，並與網站的正常檔案混在一起，為了迴避偵測，攻擊者加入額外的變數（其中一個是zqxq），以及自訂功能。

針對這波攻擊，攻擊者也運用過往大規模JavaScript注入事故的典型手法，像是利用Token和重新導向手法來掩蓋惡意連結，或是透過特定屬性來確認受害者是否曾經存取，避免相同電腦重覆感染，減少被發現的機會，再者，攻擊者也利用XMLHttpRequest（XHR）物件暗中存取其他指令碼，或將受害者重新導向，從而利用工具包、惡意網站。

針對這波攻擊的手法，Malwarebytes認為與名為Parrot的惡意流量導向系統（Traffic Direction System，TDS）存在共同之處，都使用經過混淆處理的重新導向指令碼、流量重新導向的行為，並大規模感染網站。