Tampermonkey恶意脚本(398195)分析

Tampermonkey恶意脚本(398195)分析

访问阿里云时在Burp Suite中看到请求了一个不太正常的JavaScript文件。

image-20211028161148102

搜索task_01_union_20210923_1632387048883,发现是通过https://eb.xcj.pub/ebusiness/api/get/script_url?sno=1获取到的地址。
image-20211028161430736

在Chrome中使用开发者工具追踪/ebusiness/api/get/script_url的调用。

image-20211028154218224

https://eb.xcj.pub/ebusiness/api/get/script_url?sno=1的base64编码出现在了代码中。

1
2
window.atob("aHR0cHM6Ly9lYi54Y2oucHViL2VidXNpbmVzcy9hcGkvZ2V0L3NjcmlwdF91cmw/c25vPTE=")
// 'https://eb.xcj.pub/ebusiness/api/get/script_url?sno=1'

image-20211028154140208

这段代码出现在一个Tampermonkey脚本中。

地址:https://greasyfork.org/zh-CN/scripts/398195

image-20211028160106151

image-20211028154936109

恶意脚本的作用是在访问阿里云、腾讯云、华为云、Vultr、搬瓦工等云主机服务商的网站时,会使用恶意脚本作者的推荐码,以获取返利。

恶意脚本:

image-20211028160447884

image-20211028160501856

image-20211028160527124

image-20211028160623693

动态获取返利账号参数:

image-20211028160922493

脚本安装数量:

image-20211028162316207

后记

管理员审核后,封禁了该用户。

https://greasyfork.org/zh-CN/reports/18700

image-20220308180352403