許多初入行的工程師在開發時會尋找高效的跨平台框架來快速產出產品,但這種追求開發效率的特性,在犯罪分子的眼中卻是極佳的攻擊工具。近期 Infoblox 的研究揭露了一個驚人的現象:有超過 23 萬個詐騙網站是利用中國的開源跨平台開發框架 DCloud Uni-App 所建構的。
這起事件並非 DCloud 框架本身有漏洞,而是其開發生態被惡意利用。我們需要理解的是,現代的網路犯罪已經進入模組化與產品化階段。
開發框架被用作詐騙工具的脈絡
DCloud Uni-App 是一個允許開發者使用一套程式碼同時發布到 iOS、Android 及 Web 的框架。對於詐騙集團來說,這種框架提供了極高的開發效率。他們不再需要為每個平台單獨開發,而是可以直接購買或製作一套投資詐騙模板,快速複製出數以萬計的仿冒網站。
這些網站涵蓋了多種詐騙形態,包括偽造的加密貨幣交易所、多國語言的殺豬盤(Pig-Butchering,一種先建立信任再誘導投資的長期詐騙)、偽裝成 WhatsApp 安全中心的釣魚頁面,以及專門盜取錢包資產的 Wallet Drainers(錢包排空程式)。
從技術特徵分析攻擊者的層級
研究人員將這些詐騙網站分為兩個層級,這對於我們理解攻擊者的技術能力非常有幫助。
第一類是初級操作者,他們直接使用 DCloud 框架的預設設定部署網站,因此在網頁原始碼中留下了明顯的框架特徵(Fingerprint)。這類網站通常託管在 AWS、Cloudflare 或阿里雲等主流雲端服務商,雖然數量多,但因為特徵明顯且託管商配合度高,很容易被偵測並封鎖。
第二類是高級操作者,他們會刻意移除 DCloud 的預設腳手架(Scaffolding)與特徵碼,以規避基於特徵的自動化偵測。更關鍵的是,這類操作者通常會選擇 Bulletproof Hosting(防彈主機)。所謂防彈主機,是指那些刻意無視法律請求、拒絕配合撤除惡意內容的託管服務商。這種技術路徑的選擇顯示出攻擊者具備更高的對抗意識。
詐騙流程中的工程心理學
在這些網站的設計中,有一個值得注意的技術細節:邀請碼門檻(Invitation Code Gate)。
許多投資詐騙頁面在註冊時會強制要求輸入邀請碼,否則無法進入存款頁面。這在工程邏輯上看似多此一舉,但在詐騙心理學中至關重要。這將詐騙模式轉化為金字塔計劃,強迫受害者在成為投資者的同時,必須成為招募者,利用社交信任鏈將親友拉入陷阱,從而實現病毒式的擴散。
實務上的啟發與防禦觀點
對於開發者與資安人員來說,這次事件提供了幾個重要的思考方向。
首先是特徵分析的局限性。單純依賴框架特徵(如特定的 HTML 標籤或 JS 變數)來判定網站是否惡意是不夠的,因為高級攻擊者會進行去特徵化處理。
其次是對第三方框架依賴的警覺。雖然使用開源框架是業界常態,但我們應意識到,任何能降低開發門檻的工具,同樣能降低犯罪門檻。
最後,面對這類大規模的模板化攻擊,最有效的防禦仍在於 DNS 層級的威脅情報與行為分析。當大量新註冊的域名展現出高度相似的結構且指向可疑的託管商時,即便沒有明顯的框架特徵,也能透過集群分析(Clustering Analysis)將其識別為潛在威脅。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。