駭客用新技術隱藏惡意JavaScript程式

專門提供企業網站管理軟體的Websense在周四（10/20）警告，有駭客利用新的編碼技術，在賭博或情色等犯罪網站或其他被波及的網站上植入被隱藏的惡意JavaScript程式，Websense安全研究總監Dan Hubbard指出，名為「JS/Wonka」的迷惑系列程式在前兩個星期迅速散布。

Dan Hubbard說，不知為什麼，被感染的網站數量在9月下旬竄升，有超過1萬個網站使用相同的技術，奇怪的是，這些網站的類型完全不一致。

此外，Dan Hubbard表示，駭客隱藏自己的惡意JavaScript碼是很少見的，他們希望不論是網站管理員或是使用者都看不到這些JavaScript碼。不過，Websense發現此次「JS/Wonka」散布的規模卻是前所未有。

「JS/Wonka」程式主要是藉著字元與統一編碼（Unicode）的來回轉換而運作，由於JavaScript能夠自動做這些轉換，「JS/Wonka」其實是個僅佔少量記憶體的程式，撰寫人並不需要太多專業。

這個惡意的JavaScipt程式經常被隱藏在長度、寬度被設定為0的IFRAME中，讓人們肉眼看不見。微軟的IE瀏覽器也有許多IFRAME的漏洞，有些關於IFRAME修補程式的臭蟲（Bug）及漏洞到現在都還未被修補，這也促成駭客的攻擊。

駭客有時會在一些網站中採用所謂的「拜占庭帝國迂迴路徑」（Byzantine paths）暗中執行他們的工作，透過IFRAME漏洞以及隱藏的JavaScript將使用者從一個網站送到另一個網站。

使用「JS/Wonka」程式的網站會出現偽造的搜尋引擎結果、讓阻止Pop up視窗的功能失效、出現電腦受到間諜程式感染的假訊息，或是行銷垃圾（Sapm）產品，諸如假藥、低利率貸款、色情產品，以及不法軟體等。

然而，IE也不是唯一存有讓「JS/Wonka」攻擊漏洞的瀏覽器，另一受歡迎的Firefox也在今年受到許多JavaScipt的攻擊。

有趣的是使用這些程式碼的網站數量急速的增加，Dan Hubbard表示這有可能是已經有「JS/Wonka」產生器，或只是駭客間的協調。我們尚未找到任何公開的「JS/Wonka」產生器，但已經有相當多網站註冊類似「JS/Wonka」的網域名稱。

Dan Hubbard說，在那些逾1萬個使用「JS/Wonka」的網站中，有大概一半是被波及的或是原本就是惡意網站想要在使用者電腦中植入惡意或間諜程式。另一半的網站則因那些晦暗的「JS/Wonka」程式而出現偽造的搜尋結果或垃圾產品廣告。

根據Websense的調查，有超過3/4具備「JS/Wonka」的網站主機集中在美國，Websense認為，這意味著有一個駭客團隊共同散布「JS/Wonka」，或者是「JS/Wonka」程式產生器才剛剛被開發，所以還來不及擴散到海外。編譯／陳曉莉