WordPress sites παραβιάζονται για να εμφανίζουν ψεύτικες σελίδες Cloudflare για προστασία έναντι DdoS επιθέσεων, με πραγματικό σκοπό τη διανομή malware. Οι ψεύτικες ειδοποιήσεις εγκαθιστούν το NetSupport RAT και το RaccoonStealer, ένα trojan γνωστό για την κλοπή κωδικών πρόσβασης.
Δεν είναι ασυνήθιστο για τους χρήστες να βλέπουν σελίδες “Προστασία DDoS” όταν κάνουν περιήγηση στο διαδίκτυο. Αυτές οι σελίδες προστασίας DDoS συνήθως σχετίζονται με ελέγχους του προγράμματος περιήγησης που εκτελούνται από υπηρεσίες WAF/CDN, οι οποίες επαληθεύουν εάν ο επισκέπτης του ιστότοπου είναι, στην πραγματικότητα, άνθρωπος ή αποτελεί μέρος μιας επίθεσης (DDoS).
Οι χρήστες του Διαδικτύου αντιμετωπίζουν αυτά τα “welcome screens” ως μια αναπόφευκτη βραχυπρόθεσμη ενόχληση που κρατά τους αγαπημένους τους διαδικτυακούς πόρους προστατευμένους από κακόβουλες επιχειρήσεις. Δυστυχώς, όμως, αυτή η εξοικείωση με αυτές τις ειδοποιήσεις μπορεί να λειτουργήσει αρνητικά.
Δείτε επίσης: Hackers στοχεύουν ξενοδοχεία και μολύνουν τα συστήματα με malware
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Εγκατάσταση malware μέσω πλαστών μηνυμάτων Cloudflare για προστασία από DDoS
Όπως περιγράφεται λεπτομερώς σε μια αναφορά της Sucuri, οι παράγοντες απειλών χακάρουν WordPress sites που δεν προστατεύονται επαρκώς, για να προσθέσουν ένα obfuscated JavaScript payload που εμφανίζει μια ψεύτικη οθόνη προστασίας από DdoS, από την Cloudflare.
Αυτή η οθόνη ζητά από τον επισκέπτη να κάνει κλικ σε ένα κουμπί για να παρακάμψει την οθόνη προστασίας DDoS. Ωστόσο, κάνοντας κλικ στο κουμπί γίνεται λήψη ενός αρχείου ‘security_install.iso’, το οποίο υποτίθεται ότι είναι ένα εργαλείο που απαιτείται για την παράκαμψη της επαλήθευσης DDoS.
Στη συνέχεια, τα θύματα καλούνται να ανοίξουν το security_install.iso, που εμφανίζεται σαν μια εφαρμογή με το όνομα DDOS GUARD, και να εισάγουν τον κωδικό που εμφανίζεται.
Όταν ο χρήστης ανοίγει το security_install.iso, θα δει ένα αρχείο που ονομάζεται security_install.exe, το οποίο είναι στην πραγματικότητα μια συντόμευση των Windows που εκτελεί μια εντολή PowerShell από το debug.txt file.
Δείτε επίσης: 35 Εφαρμογές Android malware βρέθηκαν στο Google Play Store
Τελικά, αυτό προκαλεί την εκτέλεση μιας αλυσίδας scripts (που εμφανίζουν το ψεύτικο DdoS code που απαιτείται για την προβολή του site), καθώς και την εγκατάσταση του NetSupport RAT, ενός trojan απομακρυσμένης πρόσβασης που χρησιμοποιείται ευρέως σε κακόβουλες καμπάνιες.
Επιπλέον, τα scripts θα κατεβάσουν το trojan Raccoon Stealer για να κλέψουν κωδικούς πρόσβασης. Το Raccoon Stealer άρχισε να χρησιμοποιείται ξανά τον Ιούνιο, όταν οι δημιουργοί του κυκλοφόρησαν τη δεύτερη σημαντική έκδοσή του και το έθεσαν διαθέσιμο στους εγκληματίες του κυβερνοχώρου με ένα μοντέλο συνδρομής.
Το Raccoon 2.0 στοχεύει κωδικούς πρόσβασης, cookies, auto-fill data και πιστωτικές κάρτες που είναι αποθηκευμένες σε προγράμματα περιήγησης. Επίσης, στοχεύει διάφορα cryptocurrency wallets και μπορεί να εξάγει αρχεία και να τραβήξει screenshots της επιφάνειας εργασίας του θύματος.
Δείτε επίσης: Οι malware devs παρακάμπτουν ήδη την ασφάλεια του Android 13
Τρόποι προστασίας
Τα Remote Access Trojans (RAT) αποτελούν έναν από τους χειρότερους τύπους μολύνσεων που μπορούν να επηρεάσουν έναν υπολογιστή, καθώς παρέχουν στους εισβολείς τον πλήρη έλεγχο της συσκευής. Οι ιδιοκτήτες sites και οι επισκέπτες πρέπει να λαμβάνουν όλες τις προφυλάξεις για την προστασία τους.
Σύμφωνα με τη Sucuri, τα παρακάτω μπορούν να βοηθήσουν στη μείωση του κινδύνου μόλυνσης.
Κάτοχοι sites:
- Διατηρήστε ενημερωμένο όλο το λογισμικό στον ιστότοπό σας
- Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης
- Χρησιμοποιήστε 2FA στον πίνακα διαχείρισης
- Χρησιμοποιήστε firewall
- Χρησιμοποιήστε συστήματα file integrity monitoring
Επισκέπτες sites:
- Βεβαιωθείτε ότι ο υπολογιστής σας εκτελεί ένα ισχυρό πρόγραμμα προστασίας από ιούς
- Εφαρμόστε 2FA σε όλες τις σημαντικές συνδέσεις (π.χ. τράπεζα, μέσα κοινωνικής δικτύωσης)
- Εξασκηθείτε στις καλές συνήθειες περιήγησης. Μην ανοίγετε περίεργα αρχεία!
- Διατηρήστε το πρόγραμμα περιήγησής σας και όλο το λογισμικό στον υπολογιστή σας ενημερωμένο
- Χρησιμοποιήστε ένα πρόγραμμα αποκλεισμού scripts στο πρόγραμμα περιήγησής σας (για προχωρημένους)
Πηγή: www.bleepingcomputer.com