Более 16 000 страниц сексуального контента, образования и правительства стали жертвами хакеров

Киберпреступники создали сайты, идентичные оригинальным, для кражи данных

Guardar
Cyber thieves robbing computer bank
Cyber thieves robbing computer bank data. Cartoon hackers carrying credit card, password and money. Hacker attack concept. Vector illustration can be used for cybercrime, breach, hacker identity

Была обнаружена новая вредоносная система управления трафиком (TDS) Parrot TDS, которая заразила несколько веб-серверов, на которых размещено более 16 500 сайтов. К затронутым веб-сайтам относятся страницы контента для взрослых, личные, университетские и правительственные сайты.

Его внешний вид изменен, чтобы отобразить фишинговую страницу, в которой утверждается, что пользователю необходимо обновить свой браузер.

Когда пользователь запускает предлагаемый файл обновления браузера, загружается средство удаленного доступа (RAT), которое дает злоумышленникам полный доступ к компьютерам жертв.

«Системы управления трафиком служат шлюзом для проведения различных вредоносных кампаний на зараженных сайтах», — говорит Ян Рубин, исследователь вредоносных программ в Avast, который выявил эту проблему. «В настоящее время вредоносная кампания под названием FakeUpdate (также известная как SocgHolish) распространяется через Parrot TDS, но другие вредоносные действия могут осуществляться в будущем через TDS».

Исследователи Ян Рубин и Павел Новак считают, что злоумышленники используют веб-серверы небезопасных систем управления контентом, таких как сайты WordPress и Joomla.

Преступники начинают действовать в тот момент, когда вы входите в учетные записи со слабыми учетными данными, чтобы получить доступ администратора к серверам.

«Единственное, что объединяет сайты, это WordPress и, в некоторых случаях, сайты Joomla. Поэтому мы подозреваем, что они используют слабые учетные данные для входа в систему для заражения сайтов вредоносным кодом», — говорит Павел Новак, аналитик ThreatOps в Avast. Он добавил: «Надежность Parrot TDS и его большой охват делают его уникальным».

Parrot TDS позволяет злоумышленникам устанавливать параметры для отображения фишинговых страниц только потенциальным жертвам, которые отвечают определенным условиям, с учетом типа браузера пользователя, файлов cookie и веб-сайта, с которого они приходят.

Infobae

О чем идет речь в кампании FakeUpdate

Вредоносная кампания FakeUpdate использует JavaScript для изменения внешнего вида сайта и отображения фишинговых сообщений, утверждающих, что пользователю необходимо обновить свой браузер.

Как и Parrot TDS, FakeUpdate также выполняет предварительное сканирование для сбора информации о посетителе сайта перед отображением фишингового сообщения. Это защита, позволяющая определить, следует ли отображать фишинговое сообщение, среди прочего.

Сканирование проверяет, какой антивирусный продукт установлен на устройстве. Файл, предлагаемый в качестве обновления, на самом деле представляет собой средство удаленного доступа под названием NetSupport Manager.

Киберпреступники, стоящие за кампанией, настроили инструмент таким образом, что у пользователя очень мало шансов его заметить. Если жертва запускает файл, злоумышленники получают полный доступ к своему компьютеру и могут изменить полезную нагрузку, доставленную жертвам в любое время.

В дополнение к кампании FakeUpdate исследователи изучили другие фишинговые сайты, размещенные на зараженных сайтах Parrot TDS, хотя они не могут окончательно связать их с этой системой управления трафиком.

Как пользователи могут не стать жертвами фишинга:

1. Если посещаемый сайт выглядит иначе, чем ожидалось, посетителям следует покинуть страницу, не загружая никаких файлов и не вводя какую-либо информацию.

2. Кроме того, обновления необходимо загружать непосредственно из настроек браузера, а не через другие каналы.

Infobae

Как разработчики могут защитить серверы:

1. Замените все файлы JavaScript и PHP на веб-сервере оригинальными файлами.

2. Используйте последнюю версию системы управления контентом или CMS.

3. Используйте последние версии установленных надстроек.

4. Проверьте, есть ли задачи, выполняемые автоматически на веб-сервере.

5. Проверяйте и настраивайте безопасные учетные данные и используйте уникальные учетные данные для каждой службы.

6. Проверьте учетные записи администратора на сервере, убедитесь, что каждая учетная запись принадлежит разработчикам и имеет надежные пароли.

7. При необходимости настройте второй фактор аутентификации для всех учетных записей администратора веб-сервера.

8. Используйте доступные надстройки безопасности.

9. Сканируйте все файлы на веб-сервере с помощью антивирусной программы.

ПРОДОЛЖАЙТЕ ЧИТАТЬ:

Guardar

Más Noticias

Дебанхи Эскобар: они обезопасили мотель, где ее нашли безжизненной в цистерне

Сотрудники специализированной прокуратуры Нуэво-Леона обеспечили охрану мотеля Nueva Castilla в рамках расследования этого дела
Дебанхи Эскобар: они обезопасили мотель,

Самый старый человек в мире умер в возрасте 119 лет

Кейн Танака жил в Японии. Она родилась на шесть месяцев раньше Джорджа Оруэлла, в тот же год, когда братья Райт впервые совершили полет, а Мари Кюри стала первой женщиной, получившей Нобелевскую премию
Самый старый человек в мире

Жуткая находка в CDMX: они оставили тело в мешке и связали в такси

Кузов оставили на задних сиденьях автомобиля. Он был покрыт черными мешками и перевязан промышленной лентой
Жуткая находка в CDMX: они

«Орлы Америки» сразятся с «Манчестер Сити» в дуэли легенд. Вот подробности

Лучший мексиканский чемпион по футболу сыграет матч с командой Пепа Гвардиолы в Кубке Lone Star
«Орлы Америки» сразятся с «Манчестер

ФБР провело обыски в домах российского магната, связанного с Путиным до войны

Картина Диего Риверы. Пара обуви Prada. Бейсболка.
Infobae