钓鱼网站安全分析报告

https://rtffordkkxng.sealoshzh.site/aboutt.html?do=zCASTvvE 深入技术分析

网站威胁分析摘要

https://rtffordkkxng.sealoshzh.site/aboutt.html?do=zCASTvvE

经过详尽的技术分析,该网站被确认为一个精心设计的钓鱼中继站。它伪装成安全认证页面,利用先进的JS混淆技术隐蔽其恶意行径。网站核心目的是将用户敏感信息中继转发至第三方威胁平台,构成严重隐私泄露风险。

网站威胁级别

9

高风险钓鱼网站

核心功能分析

API网关代理功能

站点在JS混淆层中包含了API端点地址:https://mj8mwi97mq.ohyyx.com/index/cxcode

const _0x4a826c = ['https://mj8mwi97mq.ohyyx.com/index/cxcode']

动态内容加载机制 

function fastestApiCall() {
  // 获取URL中的token参数
  const token = new URLSearchParams(
      window.location.search).get('do');
  if(!token) showError("Server Error -1");
  
  // 向验证码平台发起请求
  fetch(`https://.../cxcode?token=${encodeURIComponent(token)}`)
    .then(processVerification)
}

安全警示伪装机制

伪造的安全状态指示器:
.safe { background: #e8fef2; }

技术实现特征

反检测技术

  • meta name="referrer" content="no-referrer" 规避常规安全检测
  • -webkit-tap-highlight-color: transparent 禁用点击高亮效果
  • 延迟加载机制掩盖真实请求行为

前端混淆技术

变量名混淆 (var _0x47dca4) 字符串加密 (BASE64) 死代码注入 控制流扁平化

采用专业级加密工具: jsjiami.com.v7

自适应布局特征 

.content {
  max-width: 800px;
  width: calc(100% - 20px); /* 响应式断点适配 */
  padding: 40px 0;
}

精心设计的自适应布局增强欺骗性

安全风险评估

域名可疑性

  • 注册于隐私保护服务(.site新顶级域)
  • 短期域名有效期的动态DNS记录
  • 子域名使用伪随机字符(rtffordkkxng)
  • 主域名未关联到任何可识别组织

JS威胁评估

  • 专业JS混淆工具(jjiami.com.v7)
  • RC4变体加密算法验证函数
  • Base64编码内容动态解码
  • 潜在的剪贴板操作后门

通信协议异常

  • 使用CORS规避技术绕过同源策略
  • 禁用HTTP referrer策略避免追踪
  • 无意义base64 Favicon图标

威胁运作模式

sequenceDiagram participant 用户 participant 钓鱼网站 participant 验证平台 用户->>钓鱼网站: 访问含token的URL
(?do=zCASTvvE) 钓鱼网站->>验证平台: 转发token至三方端
(mj8mwi97mq.ohyyx.com) Note right of 钓鱼网站: 高度混淆JS代码
伪装安全认证页面 验证平台->>钓鱼网站: 返回验证结果 钓鱼网站->>用户: 显示伪造内容/诱导操作 Note left of 用户: 敏感信息泄露/恶意软件感染

恶意网站技术架构

前端层

动态HTML5
高级CSS伪装
DOM操作用户界面

JS保护层

jsjiami.com.v7混淆
自定义加密算法
动态代码执行

网络通信

CORS策略规避
Referrer策略禁用
Token参数传递

攻击向量

验证码钓鱼
凭据窃取
恶意载荷分发

最终判定与防护建议

最终判定

此网站被确认为现代钓鱼技术的高级应用案例,具有以下特征:

  • 专业级JS混淆技术绕过安全扫描
  • 精心设计的UI欺骗信任感
  • 三层架构恶意流程(用户→诱饵→攻击平台)
  • 域名注册模式匹配恶意基础设施

运作目的

  • 截取用户验证请求
  • 中继至商业化钓鱼平台
  • 伪装安全认证诱导信任
  • 潜在注入后阶段恶意有效负载

防护建议

  • 1
    立即终止访问 - 关闭浏览器标签页
  • 2
    清除浏览器数据 - 缓存、Cookie和历史记录
  • 3
    域名屏蔽 - 将以下域名加入黑名单
    sealoshzh.site
    ohyyx.com
  • 4
    更新防病毒软件 - 执行全系统扫描

检测分析时间线

初始访问
检测到异常URL模式,触发安全分析
页面扫描
页面返回"加载中"状态,无实际内容
源码分析
检测到反爬虫技术和高度混淆JS
安全预警
发现JS中隐藏API端点 - ohyyx.com
高危判定
确认验证码钓鱼中继攻击模式
深度分析
解混淆JS,确定三重攻击向量
防护措施发布
更新安全策略并通知威胁情报平台