تم اكتشاف نظام جديد لإدارة حركة المرور الخبيثة (TDS)، Parrot TDS، الذي أصاب العديد من خوادم الويب التي تستضيف أكثر من 16500 موقع. تتضمن مواقع الويب المتأثرة صفحات محتوى للبالغين والمواقع الشخصية والجامعية والحكومية.
يتم تعديل مظهره لعرض صفحة التصيد الاحتيالي التي تدعي أن المستخدم يحتاج إلى تحديث متصفحه.
عندما يقوم المستخدم بتشغيل ملف تحديث المستعرض المعروض، يتم تنزيل أداة الوصول عن بعد (RAT)، مما يتيح للمهاجمين الوصول الكامل إلى أجهزة الكمبيوتر الخاصة بالضحايا.
قال جان روبين، الباحث في البرامج الضارة في Avast، الذي حدد هذه المشكلة: «تعمل أنظمة إدارة حركة المرور كبوابة لتسليم الحملات الخبيثة المختلفة عبر المواقع المصابة». «في هذا الوقت، يتم توزيع حملة خبيثة تسمى FakeUpdate (المعروف أيضًا باسم SOCgholish) من خلال Parrot TDS، ولكن يمكن تنفيذ أنشطة ضارة أخرى في المستقبل من خلال TDS.»
يعتقد الباحثون جان روبين وبافيل نوفاك أن المهاجمين يستغلون خوادم الويب لأنظمة إدارة المحتوى غير الآمنة, مثل مواقع WordPress و Joomla.
يبدأ المجرمون اللحظة التي تقوم فيها بتسجيل الدخول إلى حسابات ذات بيانات اعتماد ضعيفة للوصول إلى المسؤول إلى الخوادم.
«الشيء الوحيد الذي تشترك فيه المواقع هو أنها WordPress، وفي بعض الحالات، مواقع جملة. لذلك، نشك في أنهم يستفيدون من بيانات اعتماد تسجيل الدخول الضعيفة لإصابة المواقع برمز ضار «، قال بافل نوفاك، محلل ThreatOps في Avast. وأضاف: «إن متانة الببغاء TDS ومدى انتشاره الكبير يجعلها فريدة من نوعها».
يسمح Parrot TDS للمهاجمين بتعيين معلمات لعرض صفحات التصيد الاحتيالي فقط للضحايا المحتملين الذين يستوفون شروطًا معينة, مع مراعاة نوع متصفح المستخدم, ملفات تعريف الارتباط وموقع الويب الذي أتوا منه.
ما هي حملة FakeUpdate حول
تستخدم حملة FakeUpdate الضارة JavaScript لتغيير مظهر الموقع وعرض رسائل التصيد الاحتيالي التي تدعي أن المستخدم يحتاج إلى تحديث متصفحه.
مثل Parrot TDS, يقوم FakeUpdate أيضًا بإجراء مسح أولي لجمع معلومات حول زائر الموقع قبل عرض رسالة التصيد الاحتيالي. هذا عمل دفاعي لتحديد ما إذا كان سيتم عرض رسالة التصيد الاحتيالي أم لا، من بين أمور أخرى.
يتحقق الفحص من منتج مكافحة الفيروسات الموجود على الجهاز. الملف المقدم كتحديث هو في الواقع أداة وصول عن بعد تسمى NetSupport Manager.
قام مجرمو الإنترنت الذين يقفون وراء الحملة بتكوين الأداة بطريقة تجعل المستخدم لديه فرصة ضئيلة جدًا لملاحظتها. إذا قام الضحية بتشغيل الملف, يحصل المهاجمون على حق الوصول الكامل إلى أجهزة الكمبيوتر الخاصة بهم ويمكنهم تغيير الحمولة التي يتم تسليمها للضحايا في أي وقت.
بالإضافة إلى حملة FakeUpdate, نظر الباحثون في مواقع التصيد الاحتيالي الأخرى المستضافة على مواقع Parrot TDS المصابة, على الرغم من أنهم لا يستطيعون ربطها بشكل قاطع بنظام إدارة حركة المرور هذا.
كيف يمكن للمستخدمين تجنب الوقوع ضحايا التصيد الاحتيالي:
1. إذا كان الموقع الذي تتم زيارته يبدو مختلفًا عن المتوقع، فيجب على الزوار مغادرة الصفحة وعدم تنزيل أي ملفات أو إدخال أي معلومات.
2. أيضا، يجب تنزيل التحديثات مباشرة من إعدادات المتصفح، وليس من خلال القنوات الأخرى.
كيف يمكن للمطورين حماية الخوادم:
1. استبدل جميع ملفات JavaScript و PHP على خادم الويب بالملفات الأصلية.
2. استخدم أحدث إصدار من نظام إدارة المحتوى أو CMS.
3. استخدم أحدث إصدارات الوظائف الإضافية المثبتة.
4. تحقق مما إذا كانت هناك مهام تعمل تلقائيًا على خادم الويب.
5. تحقق من بيانات الاعتماد الآمنة وتكوينها واستخدم بيانات اعتماد فريدة لكل خدمة.
6. تحقق من حسابات المسؤول على الخادم، مع التأكد من أن كل حساب ينتمي إلى المطورين ولديه كلمات مرور قوية.
7. عند الاقتضاء، قم بتكوين عامل المصادقة الثاني لجميع حسابات مسؤولي خادم الويب.
8. استخدم إضافات الأمان المتاحة.
9. مسح جميع الملفات على خادم الويب باستخدام برنامج مكافحة الفيروسات.
استمر في القراءة:
Más Noticias
Mauricio Lizcano quedó sin fórmula vicepresidencial tras la renuncia de Luis Carlos Reyes: “He recibido una llamada”
La campaña hacia la Presidencia de la República 2026 seguirá en marcha mientras se prepara un nuevo anuncio sobre la fórmula del exministro
Globo aerostático choca con cables eléctricos en Teotihuacán y deja dos turistas lesionados
La Agencia Federal de Aviación Civil aseguró que se investigarán las causas del accidente
Precio del dólar hoy en Cuba: Tipo de cambio se mantiene estable al cierre de cotización de este lunes 16 de marzo
Este fue el comportamiento de la divisa estadounidense durante los últimos minutos de la jornada
La vía de tren de Adamuz pudo romperse hasta 22 horas antes del descarrilamiento que provocó el accidente ferroviario
La hipótesis de la rotura de la vía es, por ahora, la principal línea de investigación para explicar las causas del descarrilamiento
Nuevo ataque sicarial cobró la vida de una persona en concurrido sector de Bogotá a plena luz del día
Un hombre falleció después de ser interceptado por sujetos que se desplazaban en motocicleta y le dispararon en repetidas oportunidades
