Mehr als 16.000 Seiten sexueller Inhalte, Bildung und Regierung wurden Opfer von Hackern

Ein neues bösartiges Verkehrsmanagementsystem (TDS), Parrot TDS, wurde entdeckt, das mehrere Webserver infiziert hat, die mehr als 16.500 Websites hosten. Betroffene Websites umfassen Seiten mit Inhalten für Erwachsene, persönliche Websites, Websites von Universitäten und Behörden.

Das Erscheinungsbild wurde geändert, um eine Phishing-Seite anzuzeigen, auf der behauptet wird, dass der Benutzer seinen Browser aktualisieren muss.

Wenn ein Benutzer die angebotene Browser-Aktualisierungsdatei ausführt, wird ein Remote Access Tool (RAT) heruntergeladen, mit dem Angreifer vollen Zugriff auf die Computer der Opfer erhalten.

„Verkehrsmanagementsysteme dienen als Gateway für die Bereitstellung verschiedener bösartiger Kampagnen über infizierte Websites hinweg“, sagte Jan Rubin, ein Malware-Forscher bei Avast, der dieses Problem identifizierte. „Derzeit wird eine böswillige Kampagne namens FakeUpdate (auch bekannt als SocgHolish) über Parrot TDS verbreitet, aber andere böswillige Aktivitäten könnten in Zukunft über TDS ausgeführt werden.“

Die Forscher Jan Rubin und Pavel Novak glauben, dass die Angreifer die Webserver unsicherer Content-Management-Systeme wie WordPress- und Joomla-Sites ausnutzen.

Kriminelle treten in dem Moment an, in dem Sie sich bei Konten mit schwachen Anmeldeinformationen anmelden, um Administratorzugriff auf Server zu erhalten.

„Das einzige, was Websites gemeinsam haben, ist, dass es sich um WordPress- und in einigen Fällen um Joomla-Sites handelt. Daher vermuten wir, dass sie schwache Anmeldeinformationen nutzen, um Websites mit bösartigem Code zu infizieren „, sagte Pavel Novak, ThreatOps-Analyst bei Avast. Er fügte hinzu: „Die Robustheit von Parrot TDS und seine große Reichweite machen es einzigartig.“

Mit Parrot TDS können Angreifer Parameter festlegen, um Phishing-Seiten nur potenziellen Opfern anzuzeigen, die bestimmte Bedingungen erfüllen, wobei der Browsertyp des Benutzers, die Cookies und die Website, von der sie stammen, berücksichtigt werden.

Worum geht es in der FakeUpdate-Kampagne?

Die böswillige FakeUpdate-Kampagne verwendet JavaScript, um das Erscheinungsbild der Website zu ändern und Phishing-Nachrichten anzuzeigen, in denen behauptet wird, dass der Benutzer seinen Browser aktualisieren muss.

Wie Parrot TDS führt FakeUpdate auch einen vorläufigen Scan durch, um Informationen über den Site-Besucher zu sammeln, bevor die Phishing-Nachricht angezeigt wird. Dies ist ein Akt der Verteidigung, um unter anderem zu entscheiden, ob die Phishing-Nachricht angezeigt werden soll oder nicht.

Der Scan überprüft, welches Antivirenprodukt sich auf dem Gerät befindet. Bei der als Update angebotenen Datei handelt es sich eigentlich um ein RAS-Tool namens NetSupport Manager.

Die Cyberkriminellen hinter der Kampagne haben das Tool so konfiguriert, dass der Benutzer kaum eine Chance hat, es zu bemerken. Wenn das Opfer die Datei ausführt, erhalten die Angreifer vollen Zugriff auf ihren Computer und können die an die Opfer gelieferte Nutzlast jederzeit ändern.

Zusätzlich zur FakeUpdate-Kampagne untersuchten die Forscher andere Phishing-Sites, die auf den infizierten Parrot TDS-Websites gehostet wurden, obwohl sie sie nicht endgültig mit diesem Verkehrsmanagementsystem verknüpfen können.

Wie können Nutzer verhindern, Opfer von Phishing zu werden:

1. Wenn die besuchte Website anders aussieht als erwartet, sollten Besucher die Seite verlassen und keine Dateien herunterladen oder Informationen eingeben.

2. Außerdem müssen Updates direkt aus den Browsereinstellungen heruntergeladen werden, niemals über andere Kanäle.

So können Entwickler Server schützen:

1. Ersetzen Sie alle JavaScript- und PHP-Dateien auf dem Webserver durch Originaldateien.

2. Verwenden Sie die neueste Version des Content-Management-Systems oder des CMS.

3. Verwenden Sie die neuesten Versionen der installierten Add-Ons.

4. Prüfen Sie, ob Aufgaben auf dem Webserver automatisch ausgeführt werden.

5. Überprüfen und konfigurieren Sie sichere Anmeldeinformationen und verwenden Sie für jeden Dienst eindeutige Anmeldeinformationen.

6. Überprüfen Sie die Administratorkonten auf dem Server und stellen Sie sicher, dass jedes Konto Entwicklern gehört und über sichere Kennwörter verfügt.

7. Konfigurieren Sie gegebenenfalls den zweiten Authentifizierungsfaktor für alle Webserver-Administratorkonten.

8. Verwenden Sie verfügbare Sicherheits-Add-ons.

9. Scannen Sie alle Dateien auf dem Webserver mit einem Antivirenprogramm.

LESEN SIE WEITER: