È stato scoperto un nuovo sistema di gestione del traffico dannoso (TDS), Parrot TDS, che ha infettato diversi server Web che ospitano più di 16.500 siti. I siti interessati includono pagine di contenuti per adulti, siti personali, universitari e governativi.
Il suo aspetto è stato modificato per visualizzare una pagina di phishing che afferma che l'utente deve aggiornare il proprio browser.
Quando un utente esegue il file di aggiornamento del browser offerto, viene scaricato uno strumento di accesso remoto (RAT), che offre agli aggressori l'accesso completo ai computer delle vittime.
«I sistemi di gestione del traffico fungono da gateway per la consegna di varie campagne dannose su siti infetti», ha affermato Jan Rubin, ricercatore di malware presso Avast, che ha identificato questo problema. «In questo momento, una campagna dannosa chiamata FakeUpdate (noto anche come SOCGHolish) viene distribuita tramite Parrot TDS, ma altre attività dannose potrebbero essere svolte in futuro tramite TDS.»
I ricercatori Jan Rubin e Pavel Novak ritengono che gli aggressori stiano sfruttando i server web di sistemi di gestione dei contenuti insicuri, come i siti WordPress e Joomla.
I criminali entrano in gioco nel momento in cui accedi ad account con credenziali deboli per ottenere l'accesso dell'amministratore ai server.
«L'unica cosa che i siti hanno in comune è che sono WordPress e, in alcuni casi, siti Joomla. Pertanto, sospettiamo che sfruttino credenziali di accesso deboli per infettare i siti con codice dannoso», ha affermato Pavel Novak, analista di ThreatOps di Avast. E ha aggiunto: «La robustezza di Parrot TDS e la sua grande portata lo rendono unico».
Parrot TDS consente agli aggressori di impostare parametri per visualizzare solo le pagine di phishing a potenziali vittime che soddisfano determinate condizioni, tenendo conto del tipo di browser dell'utente, dei cookie e del sito Web da cui provengono.
Cos'è la campagna FakeUpdate?
La campagna malevola di FakeUpdate utilizza JavaScript per modificare l'aspetto del sito e visualizzare messaggi di phishing in cui si afferma che l'utente deve aggiornare il proprio browser.
Come Parrot TDS, anche FakeUpdate esegue una scansione preliminare per raccogliere informazioni sul visitatore del sito prima di visualizzare il messaggio di phishing. Questo è un atto di difesa per determinare se visualizzare o meno il messaggio di phishing, tra le altre cose.
La scansione verifica quale prodotto antivirus è presente sul dispositivo. Il file offerto come aggiornamento è in realtà uno strumento di accesso remoto chiamato NetSupport Manager.
I criminali informatici dietro la campagna hanno configurato lo strumento in modo tale che l'utente abbia pochissime possibilità di notarlo. Se la vittima esegue il file, gli aggressori ottengono pieno accesso al proprio computer e possono modificare il carico utile consegnato alle vittime in qualsiasi momento.
Oltre alla campagna FakeUpdate, i ricercatori hanno esaminato altri siti di phishing ospitati sui siti Parrot TDS infetti, sebbene non possano collegarli in modo definitivo a quel sistema di gestione del traffico.
Come possono gli utenti evitare di diventare vittime del phishing:
1. Se il sito visitato ha un aspetto diverso dal previsto, i visitatori devono lasciare la pagina e non scaricare alcun file o inserire alcuna informazione.
2. Inoltre, gli aggiornamenti devono essere scaricati direttamente dalle impostazioni del browser, mai attraverso altri canali.
Come gli sviluppatori possono proteggere i server:
1. Sostituisci tutti i file JavaScript e PHP sul server web con file originali.
2. Utilizza l'ultima versione del sistema di gestione dei contenuti o del CMS.
3. Utilizza le ultime versioni dei componenti aggiuntivi installati.
4. Controlla se ci sono attività in esecuzione automaticamente sul server web.
5. Verifica e configura credenziali sicure e utilizza credenziali univoche per ogni servizio.
6. Controlla gli account amministratore sul server, assicurandoti che ogni account appartenga agli sviluppatori e abbia password complesse.
7. Se applicabile, configurare il secondo fattore di autenticazione per tutti gli account di amministratore del server Web.
8. Utilizza i componenti aggiuntivi di sicurezza disponibili.
9. Scansiona tutti i file sul server web con un programma antivirus.
CONTINUA A LEGGERE: