È stato scoperto un nuovo sistema di gestione del traffico dannoso (TDS), Parrot TDS, che ha infettato diversi server Web che ospitano più di 16.500 siti. I siti interessati includono pagine di contenuti per adulti, siti personali, universitari e governativi.
Il suo aspetto è stato modificato per visualizzare una pagina di phishing che afferma che l'utente deve aggiornare il proprio browser.
Quando un utente esegue il file di aggiornamento del browser offerto, viene scaricato uno strumento di accesso remoto (RAT), che offre agli aggressori l'accesso completo ai computer delle vittime.
«I sistemi di gestione del traffico fungono da gateway per la consegna di varie campagne dannose su siti infetti», ha affermato Jan Rubin, ricercatore di malware presso Avast, che ha identificato questo problema. «In questo momento, una campagna dannosa chiamata FakeUpdate (noto anche come SOCGHolish) viene distribuita tramite Parrot TDS, ma altre attività dannose potrebbero essere svolte in futuro tramite TDS.»
I ricercatori Jan Rubin e Pavel Novak ritengono che gli aggressori stiano sfruttando i server web di sistemi di gestione dei contenuti insicuri, come i siti WordPress e Joomla.
I criminali entrano in gioco nel momento in cui accedi ad account con credenziali deboli per ottenere l'accesso dell'amministratore ai server.
«L'unica cosa che i siti hanno in comune è che sono WordPress e, in alcuni casi, siti Joomla. Pertanto, sospettiamo che sfruttino credenziali di accesso deboli per infettare i siti con codice dannoso», ha affermato Pavel Novak, analista di ThreatOps di Avast. E ha aggiunto: «La robustezza di Parrot TDS e la sua grande portata lo rendono unico».
Parrot TDS consente agli aggressori di impostare parametri per visualizzare solo le pagine di phishing a potenziali vittime che soddisfano determinate condizioni, tenendo conto del tipo di browser dell'utente, dei cookie e del sito Web da cui provengono.
Cos'è la campagna FakeUpdate?
La campagna malevola di FakeUpdate utilizza JavaScript per modificare l'aspetto del sito e visualizzare messaggi di phishing in cui si afferma che l'utente deve aggiornare il proprio browser.
Come Parrot TDS, anche FakeUpdate esegue una scansione preliminare per raccogliere informazioni sul visitatore del sito prima di visualizzare il messaggio di phishing. Questo è un atto di difesa per determinare se visualizzare o meno il messaggio di phishing, tra le altre cose.
La scansione verifica quale prodotto antivirus è presente sul dispositivo. Il file offerto come aggiornamento è in realtà uno strumento di accesso remoto chiamato NetSupport Manager.
I criminali informatici dietro la campagna hanno configurato lo strumento in modo tale che l'utente abbia pochissime possibilità di notarlo. Se la vittima esegue il file, gli aggressori ottengono pieno accesso al proprio computer e possono modificare il carico utile consegnato alle vittime in qualsiasi momento.
Oltre alla campagna FakeUpdate, i ricercatori hanno esaminato altri siti di phishing ospitati sui siti Parrot TDS infetti, sebbene non possano collegarli in modo definitivo a quel sistema di gestione del traffico.
Come possono gli utenti evitare di diventare vittime del phishing:
1. Se il sito visitato ha un aspetto diverso dal previsto, i visitatori devono lasciare la pagina e non scaricare alcun file o inserire alcuna informazione.
2. Inoltre, gli aggiornamenti devono essere scaricati direttamente dalle impostazioni del browser, mai attraverso altri canali.
Come gli sviluppatori possono proteggere i server:
1. Sostituisci tutti i file JavaScript e PHP sul server web con file originali.
2. Utilizza l'ultima versione del sistema di gestione dei contenuti o del CMS.
3. Utilizza le ultime versioni dei componenti aggiuntivi installati.
4. Controlla se ci sono attività in esecuzione automaticamente sul server web.
5. Verifica e configura credenziali sicure e utilizza credenziali univoche per ogni servizio.
6. Controlla gli account amministratore sul server, assicurandoti che ogni account appartenga agli sviluppatori e abbia password complesse.
7. Se applicabile, configurare il secondo fattore di autenticazione per tutti gli account di amministratore del server Web.
8. Utilizza i componenti aggiuntivi di sicurezza disponibili.
9. Scansiona tutti i file sul server web con un programma antivirus.
CONTINUA A LEGGERE:
Más Noticias
Banco Mundial prevé que Perú registre el tercer mayor crecimiento en Sudamérica con un 2,9% en 2025
Sin embargo, la entidad internacional advirtió que América Latina registraría este año el desempeño económico más débil del mundo, proyectando una expansión regional de apenas 2,1%
Se suspende la Fase 1 de contingencia ambiental en CDMX y Edomex
La Comisión Ambiental de la Megalópolis informó que se suspende la contingencia ambiental atmosférica tras un incremento en los vientos del Valle de México
Adiós a la incertidumbre, conoce las condiciones climáticas en Málaga
Los fenómenos meteorológicos y análisis de probabilidad permiten dar información sobre la temperatura, lluvias y vientos para las próximas horas
Las series de Netflix México que roban la atención HOY
En la batalla entre servicios de streaming, Netflix busca mantenerse a la cabeza
Top 10 de Netflix en México: Estas son las películas más vistas en la plataforma
El cine ha experimentado una transformación total desde la llegada de plataformas de streaming, pues ha revolucionado la forma de hacer y mirar películas
