Более 16 000 страниц сексуального контента, образования и правительства стали жертвами хакеров

Была обнаружена новая вредоносная система управления трафиком (TDS) Parrot TDS, которая заразила несколько веб-серверов, на которых размещено более 16 500 сайтов. К затронутым веб-сайтам относятся страницы контента для взрослых, личные, университетские и правительственные сайты.

Его внешний вид изменен, чтобы отобразить фишинговую страницу, в которой утверждается, что пользователю необходимо обновить свой браузер.

Когда пользователь запускает предлагаемый файл обновления браузера, загружается средство удаленного доступа (RAT), которое дает злоумышленникам полный доступ к компьютерам жертв.

«Системы управления трафиком служат шлюзом для проведения различных вредоносных кампаний на зараженных сайтах», — говорит Ян Рубин, исследователь вредоносных программ в Avast, который выявил эту проблему. «В настоящее время вредоносная кампания под названием FakeUpdate (также известная как SocgHolish) распространяется через Parrot TDS, но другие вредоносные действия могут осуществляться в будущем через TDS».

Исследователи Ян Рубин и Павел Новак считают, что злоумышленники используют веб-серверы небезопасных систем управления контентом, таких как сайты WordPress и Joomla.

Преступники начинают действовать в тот момент, когда вы входите в учетные записи со слабыми учетными данными, чтобы получить доступ администратора к серверам.

«Единственное, что объединяет сайты, это WordPress и, в некоторых случаях, сайты Joomla. Поэтому мы подозреваем, что они используют слабые учетные данные для входа в систему для заражения сайтов вредоносным кодом», — говорит Павел Новак, аналитик ThreatOps в Avast. Он добавил: «Надежность Parrot TDS и его большой охват делают его уникальным».

Parrot TDS позволяет злоумышленникам устанавливать параметры для отображения фишинговых страниц только потенциальным жертвам, которые отвечают определенным условиям, с учетом типа браузера пользователя, файлов cookie и веб-сайта, с которого они приходят.

О чем идет речь в кампании FakeUpdate

Вредоносная кампания FakeUpdate использует JavaScript для изменения внешнего вида сайта и отображения фишинговых сообщений, утверждающих, что пользователю необходимо обновить свой браузер.

Как и Parrot TDS, FakeUpdate также выполняет предварительное сканирование для сбора информации о посетителе сайта перед отображением фишингового сообщения. Это защита, позволяющая определить, следует ли отображать фишинговое сообщение, среди прочего.

Сканирование проверяет, какой антивирусный продукт установлен на устройстве. Файл, предлагаемый в качестве обновления, на самом деле представляет собой средство удаленного доступа под названием NetSupport Manager.

Киберпреступники, стоящие за кампанией, настроили инструмент таким образом, что у пользователя очень мало шансов его заметить. Если жертва запускает файл, злоумышленники получают полный доступ к своему компьютеру и могут изменить полезную нагрузку, доставленную жертвам в любое время.

В дополнение к кампании FakeUpdate исследователи изучили другие фишинговые сайты, размещенные на зараженных сайтах Parrot TDS, хотя они не могут окончательно связать их с этой системой управления трафиком.

Как пользователи могут не стать жертвами фишинга:

1. Если посещаемый сайт выглядит иначе, чем ожидалось, посетителям следует покинуть страницу, не загружая никаких файлов и не вводя какую-либо информацию.

2. Кроме того, обновления необходимо загружать непосредственно из настроек браузера, а не через другие каналы.

Как разработчики могут защитить серверы:

1. Замените все файлы JavaScript и PHP на веб-сервере оригинальными файлами.

2. Используйте последнюю версию системы управления контентом или CMS.

3. Используйте последние версии установленных надстроек.

4. Проверьте, есть ли задачи, выполняемые автоматически на веб-сервере.

5. Проверяйте и настраивайте безопасные учетные данные и используйте уникальные учетные данные для каждой службы.

6. Проверьте учетные записи администратора на сервере, убедитесь, что каждая учетная запись принадлежит разработчикам и имеет надежные пароли.

7. При необходимости настройте второй фактор аутентификации для всех учетных записей администратора веб-сервера.

8. Используйте доступные надстройки безопасности.

9. Сканируйте все файлы на веб-сервере с помощью антивирусной программы.

ПРОДОЛЖАЙТЕ ЧИТАТЬ: