近日，Websense安全實驗室的專家在ThreatSeeker Network監測的結果中發現了一個不同尋常的域名“inte1sat.com”。該域名刻意用阿拉伯數字“1”代替小寫的英文字母“l”，以混淆人們的視線，使用戶落入陷阱。

通過初步分析“inte1sat.com”域名下的內容，專家們發現了可疑文件exploit.jar。（見圖1）

安全專家們對攻擊者采取的這種偽裝手段很感興趣。通過谷歌搜索，他們發現正確拼寫的域名“intelsat.com”其實是一家衛星通信公司的官方網站，這是一家以衛星通信運營為核心業務的公司，為客戶提供如IP Trunking、電子通訊等服務。（見圖2）

而通過谷歌搜索“inte1sat.com”，顯示的結果為一個存儲在美國聯邦通信委員會(FCC)的Web站點上的PDF文檔（見圖3）。 FCC是一家協調美國各州之間的無線電、電視、有線、衛星及同軸電纜等網絡的大型機構，影響力甚至覆蓋到南美洲的哥倫比亞特區。

但是，當安全專家對這份可公開訪問的可疑PDF文檔進行內容搜索后，竟然沒有發現任何“inte1sat”的字樣。我們可以大膽猜測，該文檔在通過谷歌的OCR算法掃描或傳真后上傳到網絡時，OCR算法對英文字母“l”的識別產生了錯誤。盡管這個解釋不是不可能，但我們還是決定從一切的源頭展開調查，找出具體原因。Websense安全實驗室在圖形化環境下對先前“inte1sat.com”域名下的可疑Java包進行了進一步的分析，這時，專家們發現了其中被植入的CVE-2012-4681漏洞攻擊包。該攻擊包會不斷生成并拋出異常，以此劫持Java Security Manager類，并發動后續攻擊。（見圖4）

當這個漏洞攻擊包成功執行后，就會自動下載并運行一個名為“IrFKDDEW.exe”的二進制惡意軟件，并嵌入jar包中，進而在用戶的系統中開啟后門。通過流量追蹤，可以發現該惡意軟件不斷嘗試向某IP地址發起連接請求。而其實早在2012年7月9日，這個IP地址所指向的站點就已經被Websense的Virustotal鑒定為惡意站點（見圖5），具體報告點擊這里。

Websense的安全專家繼續對“inte1sat.com”進行更深入的解析，發現域名背后其實是一系列的IP地址池，這些IP地址上還掛載著其他疑似可能通過蓄意拼寫錯誤嘗試攻擊的備用域名，只是目前尚未被激活啟用。

盡管專家們目前還不能證實這是否是谷歌的問題，讓“拼寫錯誤”的文件信息與FCC這樣的大機構一同出現在搜索結果首頁中。但可以肯定的是，黑客們將繼續尋找這樣的可趁之機，通過蓄意拼寫錯誤的攻擊手段來擴散漏洞攻擊包，損害用戶利益。

雖然在ACE（高級分類引擎）的保護下，Websense的用戶可以安然無恙，但Websense仍提醒人們保持警惕，以免落入黑客的陷阱。