Más de 16.000 páginas de contenido sexual, educación y Gobierno fueron víctimas de hackers

Se descubrió un nuevo sistema de dirección de tráfico (TDS por sus siglas en inglés) malicioso, Parrot TDS, que ha infectado varios servidores web que albergan más de 16.500 sitios. Entre las webs afectadas hay páginas de contenido para adultos, sitios personales, de universidades y gubernamentales.

Su apariencia se modifica para mostrar una página de phishing que afirma que el usuario necesita actualizar su navegador.

Cuando un usuario ejecuta el archivo de actualización del navegador que se ofrece, se descarga una herramienta de acceso remoto (RAT), que les brinda a los atacantes acceso completo a las computadoras de las víctimas.

“Los sistemas de dirección de tráfico sirven como puerta de entrada para la entrega de varias campañas maliciosas a través de los sitios infectados”, afirmó Jan Rubin, investigador de malware de Avast, que identificó este problema. “En este momento, se está distribuyendo una campaña maliciosa llamada FakeUpdate (también conocida como SocGholish) a través de Parrot TDS, pero se podrían realizar otras actividades maliciosas en el futuro a través de TDS”.

Los investigadores Jan Rubin y Pavel Novak creen que los atacantes están explotando los servidores web de los sistemas de administración de contenido poco seguros, como los sitios de WordPress y Joomla.

Los criminales entran en acción al momento que se inicia sesión en cuentas con credenciales débiles para así obtener acceso de administrador a los servidores.

“Lo único que tienen en común los sitios es que son sitios de WordPress y, en algunos casos, de Joomla. Por lo tanto, sospechamos que se aprovechan de las credenciales de inicio de sesión débiles para infectar los sitios con código malicioso”, mencionó Pavel Novak, analista de ThreatOps en Avast. Y añadió: “La robustez de Parrot TDS y su gran alcance lo hacen único”.

Parrot TDS permite a los atacantes establecer parámetros para mostrar solo páginas de phishing a víctimas potenciales que cumplen ciertas condiciones, teniendo en cuenta el tipo de navegador de los usuarios, las cookies y el sitio web del que proceden.

De qué se trata la campaña FakeUpdate

La campaña maliciosa FakeUpdate utiliza JavaScript para cambiar la apariencia del sitio y mostrar mensajes de phishing que afirman que el usuario necesita actualizar su navegador.

Al igual que Parrot TDS, FakeUpdate también realiza un escaneo preliminar para recopilar información sobre el visitante del sitio antes de mostrar el mensaje de phishing. Este es un acto de defensa para determinar si mostrar o no el mensaje de phishing, entre otras cosas.

El escaneo verifica qué producto antivirus está en el dispositivo. El archivo que se ofrece como actualización es en realidad una herramienta de acceso remoto llamada NetSupport Manager.

Los ciberdelincuentes detrás de la campaña han configurado la herramienta de tal manera que el usuario tiene muy pocas posibilidades de darse cuenta. Si la víctima ejecuta el archivo, los atacantes obtienen acceso completo a su computadora y pueden cambiar la carga útil entregada a las víctimas en cualquier momento.

Además de la campaña FakeUpdate, los investigadores observaron otros sitios de phishing alojados en los sitios infectados de Parrot TDS, aunque no pueden relacionarlos de manera concluyente con ese sistema de dirección de tráfico.

Cómo pueden los usuarios evitar ser víctimas de phishing:

1. Si el sitio que se visita parece diferente de lo esperado, los visitantes deben abandonar la página y no descargar ningún archivo ni ingresar ningún tipo de información.

2. Asimismo, se deben descargar las actualizaciones directamente desde la configuración del navegador, nunca a través de otros canales.

Cómo pueden los desarrolladores proteger los servidores:

1. Reemplazar todos los archivos JavaScript y PHP en el servidor web con archivos originales.

2. Utilizar la última versión del sistema de administración de contenido o CMS.

3. Emplear las últimas versiones de los complementos instalados.

4. Comprobar si hay tareas que se ejecutan automáticamente en el servidor web.

5. Verificar y configurar credenciales seguras y utilizar credenciales únicas para cada servicio.

6. Chequear las cuentas de administrador en el servidor, asegurándose de que cada una de ellas pertenezca a desarrolladores y tengan contraseñas seguras.

7. Cuando corresponda, configurar el segundo factor de autenticación para todas las cuentas de administrador del servidor web.

8. Utilizar complementos de seguridad disponibles.

9. Analizar todos los archivos en el servidor web con un programa antivirus.

SEGUIR LEYENDO: