LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
речник на заплахите

Drive-by download

Малуер, доставен на посетител просто при зареждане на компрометирана или зловредна страница, без явни действия от потребителя.

Какво представлява

Drive-by download инсталира зловреден код като страничен ефект от зареждане на страница, обикновено чрез верига от експлойти на браузъра/плъгин до loader. Компрометирана страница може да е оригиналният сайт или downstream трето-странно iframe/script. Откриването е трудно с пасивни crawlers, защото експлойтът често се задейства само за правилния user-agent, geo или session cookie.

Примери от реалния свят

  • Компрометирани CMS плъгини, пренасочващи към RIG EK.
  • Malvertising вериги, доставящи SocGholish чрез фалшиви страници за ъпдейт на браузъра.

Как ExploitShield го открива

Скенерът върти user agents, географии и профили на viewport при всяко пускане и повторно рендира на всеки 5 минути — така условните drive-by атаки се наблюдават, вместо да бъдат пропуснати.

Свързани термини

MagecartКомплект за експлоити