Живая PDF-схема паразитирует через CVE-2024-4367 на установках...

232

Живая PDF-схема паразитирует через CVE-2024-4367 на установках Open Journal Systems в adult-выдаче

Паразитная SEO-кампания, активная с 2026-02-25, выводит аффилиатные страницы ourdream.ai в топ AI porn-выдачи, эксплуатируя цепочку из трёх дыр в установках Open Journal Systems (OJS) на авторитетных академических доменах — подтверждено через логи certificate transparency:

ojs.stanford.edu,

journals.uic.edu,

ojs.oasis.unc.edu и

gcgjournal.georgetown.edu.

Это лишь вершина айсберга: Google dorks позволяют найти дополнительные уязвимые OJS-установки в промышленных масштабах.

Цепочка эксплойта: вредоносный PDF загружается с удалённого ресурса (revistas.unam.mx) так, что pdf.js-валидатор воспринимает это как same-origin — он проверяет только строку URL, а не конечный адрес.

Открытый редирект на пути signout у topicbc.net (через параметр source URL) передаёт атакующему контроль над финальным доменом.

PDF несёт Base64-закодированный JavaScript, который удалённо загружает вторичный пейлоад (555.js); обфусцированный код выполняет fetch к JSON-файлу с URL редиректа и доставляет юзера на аффилиатную ссылку.

CVE-2024-4367 запатчили в 2024 году — атакующий деплоит устаревшую версию pdf-js специально, чтобы дыра оставалась рабочей.

Клоакинг: Google индексирует чистую PDF-версию.

Пейлоад всплывает только через CURL с реферальными заголовками — обход пустой страницы-заглушки.

Окно открыто, но, скорее всего, закрывается: стандартный ответ Google на этот класс эксплойтов — блэклистинг паттернов URL.

@MikeBlazerX

🚷 Закрытый канал: @MikeBlazerPRO