Ein neues bösartiges Verkehrsmanagementsystem (TDS), Parrot TDS, wurde entdeckt, das mehrere Webserver infiziert hat, die mehr als 16.500 Websites hosten. Betroffene Websites umfassen Seiten mit Inhalten für Erwachsene, persönliche Websites, Websites von Universitäten und Behörden.
Das Erscheinungsbild wurde geändert, um eine Phishing-Seite anzuzeigen, auf der behauptet wird, dass der Benutzer seinen Browser aktualisieren muss.
Wenn ein Benutzer die angebotene Browser-Aktualisierungsdatei ausführt, wird ein Remote Access Tool (RAT) heruntergeladen, mit dem Angreifer vollen Zugriff auf die Computer der Opfer erhalten.
„Verkehrsmanagementsysteme dienen als Gateway für die Bereitstellung verschiedener bösartiger Kampagnen über infizierte Websites hinweg“, sagte Jan Rubin, ein Malware-Forscher bei Avast, der dieses Problem identifizierte. „Derzeit wird eine böswillige Kampagne namens FakeUpdate (auch bekannt als SocgHolish) über Parrot TDS verbreitet, aber andere böswillige Aktivitäten könnten in Zukunft über TDS ausgeführt werden.“
Die Forscher Jan Rubin und Pavel Novak glauben, dass die Angreifer die Webserver unsicherer Content-Management-Systeme wie WordPress- und Joomla-Sites ausnutzen.
Kriminelle treten in dem Moment an, in dem Sie sich bei Konten mit schwachen Anmeldeinformationen anmelden, um Administratorzugriff auf Server zu erhalten.
„Das einzige, was Websites gemeinsam haben, ist, dass es sich um WordPress- und in einigen Fällen um Joomla-Sites handelt. Daher vermuten wir, dass sie schwache Anmeldeinformationen nutzen, um Websites mit bösartigem Code zu infizieren „, sagte Pavel Novak, ThreatOps-Analyst bei Avast. Er fügte hinzu: „Die Robustheit von Parrot TDS und seine große Reichweite machen es einzigartig.“
Mit Parrot TDS können Angreifer Parameter festlegen, um Phishing-Seiten nur potenziellen Opfern anzuzeigen, die bestimmte Bedingungen erfüllen, wobei der Browsertyp des Benutzers, die Cookies und die Website, von der sie stammen, berücksichtigt werden.
Worum geht es in der FakeUpdate-Kampagne?
Die böswillige FakeUpdate-Kampagne verwendet JavaScript, um das Erscheinungsbild der Website zu ändern und Phishing-Nachrichten anzuzeigen, in denen behauptet wird, dass der Benutzer seinen Browser aktualisieren muss.
Wie Parrot TDS führt FakeUpdate auch einen vorläufigen Scan durch, um Informationen über den Site-Besucher zu sammeln, bevor die Phishing-Nachricht angezeigt wird. Dies ist ein Akt der Verteidigung, um unter anderem zu entscheiden, ob die Phishing-Nachricht angezeigt werden soll oder nicht.
Der Scan überprüft, welches Antivirenprodukt sich auf dem Gerät befindet. Bei der als Update angebotenen Datei handelt es sich eigentlich um ein RAS-Tool namens NetSupport Manager.
Die Cyberkriminellen hinter der Kampagne haben das Tool so konfiguriert, dass der Benutzer kaum eine Chance hat, es zu bemerken. Wenn das Opfer die Datei ausführt, erhalten die Angreifer vollen Zugriff auf ihren Computer und können die an die Opfer gelieferte Nutzlast jederzeit ändern.
Zusätzlich zur FakeUpdate-Kampagne untersuchten die Forscher andere Phishing-Sites, die auf den infizierten Parrot TDS-Websites gehostet wurden, obwohl sie sie nicht endgültig mit diesem Verkehrsmanagementsystem verknüpfen können.
Wie können Nutzer verhindern, Opfer von Phishing zu werden:
1. Wenn die besuchte Website anders aussieht als erwartet, sollten Besucher die Seite verlassen und keine Dateien herunterladen oder Informationen eingeben.
2. Außerdem müssen Updates direkt aus den Browsereinstellungen heruntergeladen werden, niemals über andere Kanäle.
So können Entwickler Server schützen:
1. Ersetzen Sie alle JavaScript- und PHP-Dateien auf dem Webserver durch Originaldateien.
2. Verwenden Sie die neueste Version des Content-Management-Systems oder des CMS.
3. Verwenden Sie die neuesten Versionen der installierten Add-Ons.
4. Prüfen Sie, ob Aufgaben auf dem Webserver automatisch ausgeführt werden.
5. Überprüfen und konfigurieren Sie sichere Anmeldeinformationen und verwenden Sie für jeden Dienst eindeutige Anmeldeinformationen.
6. Überprüfen Sie die Administratorkonten auf dem Server und stellen Sie sicher, dass jedes Konto Entwicklern gehört und über sichere Kennwörter verfügt.
7. Konfigurieren Sie gegebenenfalls den zweiten Authentifizierungsfaktor für alle Webserver-Administratorkonten.
8. Verwenden Sie verfügbare Sicherheits-Add-ons.
9. Scannen Sie alle Dateien auf dem Webserver mit einem Antivirenprogramm.
LESEN SIE WEITER:
Más Noticias
Protección Civil manda un mensaje ES-Alert por riesgo de inundaciones en Girona y se suspenden las clases
“No se acerque a los cauces de los ríos, no baje a sótanos y si entra el agua suba a pisos superiores”, piden a los vecinos ante el riesgo de desbordamiento de ríos en las comarcas del Alt y Baix Empordà, Selva y Gironès
Así funciona el botón SOS de tu coche
El sistema eCall conecta automáticamente el vehículo con el 112 y transmite la ubicación exacta para agilizar la llegada de los servicios de emergencia
Donald Trump anunció que se reunirá con el secretario general de la OTAN en Suiza para hablar sobre Groenlandia
“Tuve una conversación telefónica muy interesante con Mark Rutte”, declaró el mandatario estadounidense. “Acordé una reunión de las distintas partes en Davos”, afirmó a través de un mensaje en Truth Social
Museo Dolores Olmedo confirma su regreso en 2026 tras años de cierre
El museo suspendió sus actividades durante un largo periodo y en ese tiempo surgieron versiones sobre un posible cambio de ubicación
El príncipe Alberto y Charlène de Mónaco se solidarizan con la tragedia de Adamuz: “Nuestros pensamientos están con las familias en duelo”
La Casa Real de Suecia también ha emitido un comunicado en el que han trasladado sus condolencias al pueblo español
