Mais de 16.000 páginas de conteúdo sexual, educação e governo foram vítimas de hackers

Foi descoberto um novo sistema de gerenciamento de tráfego malicioso (TDS), o Parrot TDS, que infectou vários servidores web que hospedam mais de 16.500 sites. Os sites afetados incluem páginas de conteúdo adulto, sites pessoais, universitários e governamentais.

Sua aparência é modificada para exibir uma página de phishing que afirma que o usuário precisa atualizar seu navegador.

Quando um usuário executa o arquivo de atualização do navegador oferecido, uma Ferramenta de Acesso Remoto (RAT) é baixada, o que dá aos invasores acesso total aos computadores das vítimas.

“Os sistemas de gerenciamento de tráfego servem como uma porta de entrada para a entrega de várias campanhas maliciosas em sites infectados”, disse Jan Rubin, pesquisador de malware da Avast, que identificou esse problema. “Neste momento, uma campanha maliciosa chamada FakeUpdate (também conhecida como SocGholish) está sendo distribuída através do Parrot TDS, mas outras atividades maliciosas podem ser realizadas no futuro por meio do TDS.”

Os pesquisadores Jan Rubin e Pavel Novak acreditam que os invasores estão explorando os servidores web de sistemas de gerenciamento de conteúdo inseguros, como sites WordPress e Joomla.

Os criminosos entram em ação no momento em que você faz login em contas com credenciais fracas para obter acesso de administrador aos servidores.

“A única coisa que os sites têm em comum é que eles são WordPress e, em alguns casos, sites Joomla. Portanto, suspeitamos que eles se aproveitem de credenciais de login fracas para infectar sites com código malicioso”, disse Pavel Novak, analista do ThreatOps da Avast. Ele acrescentou: “A robustez do Parrot TDS e seu grande alcance o tornam único”.

O Parrot TDS permite que os invasores definam parâmetros para exibir apenas páginas de phishing para vítimas em potencial que atendam a determinadas condições, levando em consideração o tipo de navegador do usuário, os cookies e o site de origem.

Sobre o que é a campanha FakeUpdate

A campanha maliciosa do FakeUpdate usa JavaScript para alterar a aparência do site e exibir mensagens de phishing alegando que o usuário precisa atualizar seu navegador.

Assim como o Parrot TDS, o FakeUpdate também realiza uma verificação preliminar para coletar informações sobre o visitante do site antes de exibir a mensagem de phishing. Este é um ato de defesa para determinar se deve ou não exibir a mensagem de phishing, entre outras coisas.

A verificação verifica qual produto antivírus está no dispositivo. O arquivo oferecido como atualização é, na verdade, uma ferramenta de acesso remoto chamada NetSupport Manager.

Os cibercriminosos por trás da campanha configuraram a ferramenta de tal forma que o usuário tem muito poucas chances de perceber. Se a vítima executar o arquivo, os invasores obtêm acesso total ao computador e podem alterar a carga entregue às vítimas a qualquer momento.

Além da campanha FakeUpdate, os pesquisadores analisaram outros sites de phishing hospedados nos sites infectados do Parrot TDS, embora não possam vinculá-los conclusivamente a esse sistema de gerenciamento de tráfego.

Como os usuários podem evitar ser vítimas de phishing:

1. Se o site que está sendo visitado parecer diferente do esperado, os visitantes devem sair da página e não baixar nenhum arquivo ou inserir nenhuma informação.

2. Além disso, as atualizações devem ser baixadas diretamente das configurações do navegador, nunca através de outros canais.

Como os desenvolvedores podem proteger os servidores:

1. Substitua todos os arquivos JavaScript e PHP no servidor web pelos arquivos originais.

2. Use a versão mais recente do sistema de gerenciamento de conteúdo ou CMS.

3. Use as versões mais recentes dos complementos instalados.

4. Verifique se há tarefas sendo executadas automaticamente no servidor web.

5. Verifique e configure credenciais seguras e use credenciais exclusivas para cada serviço.

6. Verifique as contas de administrador no servidor, garantindo que cada conta pertença aos desenvolvedores e tenha senhas fortes.

7. Quando aplicável, configure o segundo fator de autenticação para todas as contas de administrador do servidor web.

8. Use os complementos de segurança disponíveis.

9. Verifique todos os arquivos no servidor da web com um programa antivírus.

CONTINUE LENDO: