Plus de 16 000 pages de contenu à caractère sexuel, éducatif et gouvernemental ont été victimes de pirates informatiques

Un nouveau système de gestion du trafic (TDS) malveillant, Parrot TDS, a été découvert et a infecté plusieurs serveurs Web hébergeant plus de 16 500 sites. Les sites Web concernés comprennent des pages de contenu pour adultes, des sites personnels, universitaires et gouvernementaux.

Son apparence est modifiée pour afficher une page de phishing qui prétend que l'utilisateur doit mettre à jour son navigateur.

Lorsqu'un utilisateur exécute le fichier de mise à jour du navigateur proposé, un outil d'accès à distance (RAT) est téléchargé, ce qui donne aux attaquants un accès complet aux ordinateurs des victimes.

« Les systèmes de gestion du trafic servent de passerelle pour la diffusion de diverses campagnes malveillantes sur des sites infectés », a déclaré Jan Rubin, chercheur en logiciels malveillants chez Avast, qui a identifié ce problème. « À l'heure actuelle, une campagne malveillante appelée FakeUpdate (également connue sous le nom de SocGholish) est diffusée via Parrot TDS, mais d'autres activités malveillantes pourraient être menées à l'avenir via TDS. »

Les chercheurs Jan Rubin et Pavel Novak pensent que les attaquants exploitent les serveurs Web de systèmes de gestion de contenu non sécurisés, tels que les sites WordPress et Joomla.

Les criminels interviennent dès que vous vous connectez à des comptes dont les informations d'identification sont faibles pour obtenir un accès administrateur aux serveurs.

« La seule chose que les sites ont en commun, c'est qu'ils sont WordPress et, dans certains cas, Joomla. Par conséquent, nous soupçonnons qu'ils profitent de faibles identifiants de connexion pour infecter les sites avec du code malveillant », a déclaré Pavel Novak, analyste ThreatOps chez Avast. Et d'ajouter : « La robustesse du Parrot TDS et sa grande portée le rendent unique ».

Parrot TDS permet aux attaquants de définir des paramètres pour n'afficher les pages de phishing qu'aux victimes potentielles qui remplissent certaines conditions, en tenant compte du type de navigateur de l'utilisateur, des cookies et du site Web dont ils proviennent.

En quoi consiste la campagne FakeUpdate ?

La campagne malveillante FakeUpdate utilise JavaScript pour modifier l'apparence du site et afficher des messages de phishing affirmant que l'utilisateur doit mettre à jour son navigateur.

À l'instar de Parrot TDS, FakeUpdate effectue également une analyse préliminaire pour collecter des informations sur le visiteur du site avant d'afficher le message de phishing. Il s'agit d'un acte de défense visant à déterminer s'il faut ou non afficher le message de phishing, entre autres choses.

L'analyse vérifie quel produit antivirus se trouve sur l'appareil. Le fichier proposé en tant que mise à jour est en fait un outil d'accès à distance appelé NetSupport Manager.

Les cybercriminels à l'origine de la campagne ont configuré l'outil de manière à ce que l'utilisateur ait très peu de chances de le remarquer. Si la victime exécute le fichier, les attaquants ont un accès complet à leur ordinateur et peuvent modifier la charge utile livrée aux victimes à tout moment.

En plus de la campagne FakeUpdate, les chercheurs ont examiné d'autres sites d'hameçonnage hébergés sur les sites Parrot TDS infectés, bien qu'ils ne puissent pas les relier de manière concluante à ce système de gestion du trafic.

Comment les utilisateurs peuvent-ils éviter d'être victimes d'hameçonnage ?

1. Si le site visité est différent de celui attendu, les visiteurs doivent quitter la page et ne pas télécharger de fichiers ni saisir d'informations.

2. De plus, les mises à jour doivent être téléchargées directement à partir des paramètres du navigateur, jamais via d'autres canaux.

Comment les développeurs peuvent-ils protéger les serveurs ?

1. Remplacez tous les fichiers JavaScript et PHP du serveur Web par des fichiers d'origine.

2. Utilisez la dernière version du système de gestion de contenu ou du CMS.

3. Utilisez les dernières versions des modules complémentaires installés.

4. Vérifiez si des tâches sont exécutées automatiquement sur le serveur Web.

5. Vérifiez et configurez les informations d'identification sécurisées et utilisez des informations d'identification uniques pour chaque service.

6. Vérifiez les comptes d'administrateur sur le serveur, en vous assurant que chaque compte appartient à des développeurs et possède des mots de passe forts.

7. Le cas échéant, configurez le deuxième facteur d'authentification pour tous les comptes d'administrateur de serveur Web.

8. Utilisez les modules complémentaires de sécurité disponibles.

9. Analysez tous les fichiers du serveur Web à l'aide d'un programme antivirus.

CONTINUEZ À LIRE :