Была обнаружена новая вредоносная система управления трафиком (TDS) Parrot TDS, которая заразила несколько веб-серверов, на которых размещено более 16 500 сайтов. К затронутым веб-сайтам относятся страницы контента для взрослых, личные, университетские и правительственные сайты.
Его внешний вид изменен, чтобы отобразить фишинговую страницу, в которой утверждается, что пользователю необходимо обновить свой браузер.
Когда пользователь запускает предлагаемый файл обновления браузера, загружается средство удаленного доступа (RAT), которое дает злоумышленникам полный доступ к компьютерам жертв.
«Системы управления трафиком служат шлюзом для проведения различных вредоносных кампаний на зараженных сайтах», — говорит Ян Рубин, исследователь вредоносных программ в Avast, который выявил эту проблему. «В настоящее время вредоносная кампания под названием FakeUpdate (также известная как SocgHolish) распространяется через Parrot TDS, но другие вредоносные действия могут осуществляться в будущем через TDS».
Исследователи Ян Рубин и Павел Новак считают, что злоумышленники используют веб-серверы небезопасных систем управления контентом, таких как сайты WordPress и Joomla.
Преступники начинают действовать в тот момент, когда вы входите в учетные записи со слабыми учетными данными, чтобы получить доступ администратора к серверам.
«Единственное, что объединяет сайты, это WordPress и, в некоторых случаях, сайты Joomla. Поэтому мы подозреваем, что они используют слабые учетные данные для входа в систему для заражения сайтов вредоносным кодом», — говорит Павел Новак, аналитик ThreatOps в Avast. Он добавил: «Надежность Parrot TDS и его большой охват делают его уникальным».
Parrot TDS позволяет злоумышленникам устанавливать параметры для отображения фишинговых страниц только потенциальным жертвам, которые отвечают определенным условиям, с учетом типа браузера пользователя, файлов cookie и веб-сайта, с которого они приходят.
О чем идет речь в кампании FakeUpdate
Вредоносная кампания FakeUpdate использует JavaScript для изменения внешнего вида сайта и отображения фишинговых сообщений, утверждающих, что пользователю необходимо обновить свой браузер.
Как и Parrot TDS, FakeUpdate также выполняет предварительное сканирование для сбора информации о посетителе сайта перед отображением фишингового сообщения. Это защита, позволяющая определить, следует ли отображать фишинговое сообщение, среди прочего.
Сканирование проверяет, какой антивирусный продукт установлен на устройстве. Файл, предлагаемый в качестве обновления, на самом деле представляет собой средство удаленного доступа под названием NetSupport Manager.
Киберпреступники, стоящие за кампанией, настроили инструмент таким образом, что у пользователя очень мало шансов его заметить. Если жертва запускает файл, злоумышленники получают полный доступ к своему компьютеру и могут изменить полезную нагрузку, доставленную жертвам в любое время.
В дополнение к кампании FakeUpdate исследователи изучили другие фишинговые сайты, размещенные на зараженных сайтах Parrot TDS, хотя они не могут окончательно связать их с этой системой управления трафиком.
Как пользователи могут не стать жертвами фишинга:
1. Если посещаемый сайт выглядит иначе, чем ожидалось, посетителям следует покинуть страницу, не загружая никаких файлов и не вводя какую-либо информацию.
2. Кроме того, обновления необходимо загружать непосредственно из настроек браузера, а не через другие каналы.
Как разработчики могут защитить серверы:
1. Замените все файлы JavaScript и PHP на веб-сервере оригинальными файлами.
2. Используйте последнюю версию системы управления контентом или CMS.
3. Используйте последние версии установленных надстроек.
4. Проверьте, есть ли задачи, выполняемые автоматически на веб-сервере.
5. Проверяйте и настраивайте безопасные учетные данные и используйте уникальные учетные данные для каждой службы.
6. Проверьте учетные записи администратора на сервере, убедитесь, что каждая учетная запись принадлежит разработчикам и имеет надежные пароли.
7. При необходимости настройте второй фактор аутентификации для всех учетных записей администратора веб-сервера.
8. Используйте доступные надстройки безопасности.
9. Сканируйте все файлы на веб-сервере с помощью антивирусной программы.
ПРОДОЛЖАЙТЕ ЧИТАТЬ:
Más Noticias
“La señora K sigue mintiendo”: José Domingo Pérez reacciona al ver a Keiko Fujimori durante el debate presidencial
El retirado fiscal anticorrupción criticó la actuación de la lideresa de Fuerza Popular durante el último debate presidencial, al cuestionar su postura frente a las leyes que “favorecen la impunidad”
Mesías Guevara, del Partido Morado, le dice a Keiko Fujimori que la “va a papear” después que ella “lo ghostea”
El intercambio tuvo lugar en medio de respuestas vinculadas a seguridad y gobernabilidad. En ese escenario, Guevara lanzó críticas contra el Congreso, al que calificó como un “pacto mafioso”, mientras Fujimori respondió con ironía y tomó distancia de los cuestionamientos del candidato del Partido Morado
Debate presidencial Perú 2026 EN VIVO HOY: tercera fecha con 12 postulantes, temas clave y el minuto a minuto del encuentro del 25 de marzo
Hoy es la tercera y última fecha de la primera fase del debate presidencial rumbo a las elecciones del 12 de abril. Se espera que sea un debate de ideas y propuestas, y menos puyazos
Metro CDMX extenderá su horario por el partido de México vs Portugal: todo lo que debes saber
La autoridad capitalina implementará una extensión en el horario del Metro para facilitar el retorno de asistentes tras el encuentro entre México y Portugal
Jhon Jáder Durán solo genera pérdidas en el fútbol: su valor en el mercado cayó 15 millones de euros
El delantero del Zenit viene en caída libre no solo por su rendimiento y ausencia en la selección Colombia, sino por el poco interés para otros clubes en Europa
