Ein neues bösartiges Verkehrsmanagementsystem (TDS), Parrot TDS, wurde entdeckt, das mehrere Webserver infiziert hat, die mehr als 16.500 Websites hosten. Betroffene Websites umfassen Seiten mit Inhalten für Erwachsene, persönliche Websites, Websites von Universitäten und Behörden.
Das Erscheinungsbild wurde geändert, um eine Phishing-Seite anzuzeigen, auf der behauptet wird, dass der Benutzer seinen Browser aktualisieren muss.
Wenn ein Benutzer die angebotene Browser-Aktualisierungsdatei ausführt, wird ein Remote Access Tool (RAT) heruntergeladen, mit dem Angreifer vollen Zugriff auf die Computer der Opfer erhalten.
„Verkehrsmanagementsysteme dienen als Gateway für die Bereitstellung verschiedener bösartiger Kampagnen über infizierte Websites hinweg“, sagte Jan Rubin, ein Malware-Forscher bei Avast, der dieses Problem identifizierte. „Derzeit wird eine böswillige Kampagne namens FakeUpdate (auch bekannt als SocgHolish) über Parrot TDS verbreitet, aber andere böswillige Aktivitäten könnten in Zukunft über TDS ausgeführt werden.“
Die Forscher Jan Rubin und Pavel Novak glauben, dass die Angreifer die Webserver unsicherer Content-Management-Systeme wie WordPress- und Joomla-Sites ausnutzen.
Kriminelle treten in dem Moment an, in dem Sie sich bei Konten mit schwachen Anmeldeinformationen anmelden, um Administratorzugriff auf Server zu erhalten.
„Das einzige, was Websites gemeinsam haben, ist, dass es sich um WordPress- und in einigen Fällen um Joomla-Sites handelt. Daher vermuten wir, dass sie schwache Anmeldeinformationen nutzen, um Websites mit bösartigem Code zu infizieren „, sagte Pavel Novak, ThreatOps-Analyst bei Avast. Er fügte hinzu: „Die Robustheit von Parrot TDS und seine große Reichweite machen es einzigartig.“
Mit Parrot TDS können Angreifer Parameter festlegen, um Phishing-Seiten nur potenziellen Opfern anzuzeigen, die bestimmte Bedingungen erfüllen, wobei der Browsertyp des Benutzers, die Cookies und die Website, von der sie stammen, berücksichtigt werden.
Worum geht es in der FakeUpdate-Kampagne?
Die böswillige FakeUpdate-Kampagne verwendet JavaScript, um das Erscheinungsbild der Website zu ändern und Phishing-Nachrichten anzuzeigen, in denen behauptet wird, dass der Benutzer seinen Browser aktualisieren muss.
Wie Parrot TDS führt FakeUpdate auch einen vorläufigen Scan durch, um Informationen über den Site-Besucher zu sammeln, bevor die Phishing-Nachricht angezeigt wird. Dies ist ein Akt der Verteidigung, um unter anderem zu entscheiden, ob die Phishing-Nachricht angezeigt werden soll oder nicht.
Der Scan überprüft, welches Antivirenprodukt sich auf dem Gerät befindet. Bei der als Update angebotenen Datei handelt es sich eigentlich um ein RAS-Tool namens NetSupport Manager.
Die Cyberkriminellen hinter der Kampagne haben das Tool so konfiguriert, dass der Benutzer kaum eine Chance hat, es zu bemerken. Wenn das Opfer die Datei ausführt, erhalten die Angreifer vollen Zugriff auf ihren Computer und können die an die Opfer gelieferte Nutzlast jederzeit ändern.
Zusätzlich zur FakeUpdate-Kampagne untersuchten die Forscher andere Phishing-Sites, die auf den infizierten Parrot TDS-Websites gehostet wurden, obwohl sie sie nicht endgültig mit diesem Verkehrsmanagementsystem verknüpfen können.
Wie können Nutzer verhindern, Opfer von Phishing zu werden:
1. Wenn die besuchte Website anders aussieht als erwartet, sollten Besucher die Seite verlassen und keine Dateien herunterladen oder Informationen eingeben.
2. Außerdem müssen Updates direkt aus den Browsereinstellungen heruntergeladen werden, niemals über andere Kanäle.
So können Entwickler Server schützen:
1. Ersetzen Sie alle JavaScript- und PHP-Dateien auf dem Webserver durch Originaldateien.
2. Verwenden Sie die neueste Version des Content-Management-Systems oder des CMS.
3. Verwenden Sie die neuesten Versionen der installierten Add-Ons.
4. Prüfen Sie, ob Aufgaben auf dem Webserver automatisch ausgeführt werden.
5. Überprüfen und konfigurieren Sie sichere Anmeldeinformationen und verwenden Sie für jeden Dienst eindeutige Anmeldeinformationen.
6. Überprüfen Sie die Administratorkonten auf dem Server und stellen Sie sicher, dass jedes Konto Entwicklern gehört und über sichere Kennwörter verfügt.
7. Konfigurieren Sie gegebenenfalls den zweiten Authentifizierungsfaktor für alle Webserver-Administratorkonten.
8. Verwenden Sie verfügbare Sicherheits-Add-ons.
9. Scannen Sie alle Dateien auf dem Webserver mit einem Antivirenprogramm.
LESEN SIE WEITER:
Más Noticias
La llamada del rey Juan Carlos a Carlos Herrera para felicitarle por ser abuelo y actualizar “las nuevas circunstancias con la silla de ruedas”
Mariló Montero ha expuesto la conversación en su vuelta a ‘Espejo público’ tras convertirse en abuela
El 70% de las mujeres desplazadas sufren violencia de género
Millones huyen solas o con sus familias y quedan vulnerables a abusos extremos, desde explotación hasta dificultades para recibir ayuda básica
Etapa 3 de la París-Niza - EN VIVO: siga aquí a los colombianos en la contrarreloj por equipos de la carrera francesa
Daniel Felipe Martínez, Juan Guillermo Martínez y Harold Tejada son los tres ciclistas colombianos presentes en la carrera que se realiza desde el 8 hasta el 15 de marzo
JNJ busca suspender al juez Juan Fidel Torres Tasso por otorgar medida cautelar a Delia Espinoza
María Teresa Cabrera pidió el apartamiento del magistrado por supuestas faltas disciplinarias al ordenar la suspensión del proceso disciplinario contra la exfiscal de la Nación
El gasóleo agrícola aumenta un 44% en una semana por la guerra de Irán: los agricultores estiman un sobrecoste anual de 890 millones de euros
Los representantes del campo español también alertan sobre el incremento en fertilizantes pese a la escasa dependencia de las importaciones de Irán y Qatar
