Equifax网站再次遭遇恶意攻击

2017年5月，信用报告服务公司Equifax的网站遭到黑客攻击，导致约1.455亿美国消费者的个人信息（包括社保号码、姓名等）被盗。随后，在2017年10月，Equifax网站再次被恶意操纵，这次攻击者通过伪造的Adobe Flash更新页面，诱使访问者点击并感染广告软件（Adware.Eorezo）。该广告软件仅被65个防病毒提供商中的3个检测到。

攻击详情

独立安全分析师Randy Abrams在访问Equifax网站时，发现浏览器被重定向到一个看似合法的Flash更新页面（hxxp//:centerbluray.info）。该页面实际上是为了传播广告软件。尽管攻击者通常只对部分访问者提供下载链接，但Abrams在多次访问中均遇到了相同的欺诈页面。

恶意软件分析

Abrams点击下载的文件名为MediaDownloaderIron.exe。根据VirusTotal的分析，该文件仅被Panda、Symantec和Webroot三家防病毒软件检测为广告软件。Payload Security的进一步分析显示，该恶意代码高度混淆，并试图隐藏其逆向工程。Malwarebytes将centerbluray.info标记为传播恶意软件的网站，而Eset和Avira也对其中一个中间域名newcyclevaults.com发出了类似的警告。

攻击来源

目前尚不清楚恶意Flash下载页面是如何显示的。有分析指出，Equifax可能使用了第三方广告网络或分析提供商，这些服务可能是导致重定向的原因。如果是这样，技术上讲，问题并不直接出在Equifax网站上，但结果仍然是Equifax网站的功能受到影响，访问者在输入社保号码等敏感信息时可能遭遇恶意页面。

用户反馈

一位Ars读者报告称，他在Equifax网站上设置临时欺诈警报时，遇到了可疑广告，并被重定向到一个声称他赢得了iPhone X的垃圾页面（lucksupply.club）。该读者表示，这种情况并非偶然，而是在多次尝试中重复出现。

Equifax的回应

在攻击事件曝光后，Equifax表示已意识到问题，并暂时关闭了受影响的页面。Equifax的IT和安全团队正在调查此事，并表示将在有更多信息时更新公众。

总结

Equifax网站再次遭遇恶意攻击，此次攻击通过伪造的Flash更新页面传播广告软件。尽管攻击可能源自第三方广告网络，但Equifax网站的功能和用户安全仍受到严重影响。Equifax已暂时关闭受影响的页面，并正在调查此事。