Un nouveau système de gestion du trafic (TDS) malveillant, Parrot TDS, a été découvert et a infecté plusieurs serveurs Web hébergeant plus de 16 500 sites. Les sites Web concernés comprennent des pages de contenu pour adultes, des sites personnels, universitaires et gouvernementaux.
Son apparence est modifiée pour afficher une page de phishing qui prétend que l'utilisateur doit mettre à jour son navigateur.
Lorsqu'un utilisateur exécute le fichier de mise à jour du navigateur proposé, un outil d'accès à distance (RAT) est téléchargé, ce qui donne aux attaquants un accès complet aux ordinateurs des victimes.
« Les systèmes de gestion du trafic servent de passerelle pour la diffusion de diverses campagnes malveillantes sur des sites infectés », a déclaré Jan Rubin, chercheur en logiciels malveillants chez Avast, qui a identifié ce problème. « À l'heure actuelle, une campagne malveillante appelée FakeUpdate (également connue sous le nom de SocGholish) est diffusée via Parrot TDS, mais d'autres activités malveillantes pourraient être menées à l'avenir via TDS. »
Les chercheurs Jan Rubin et Pavel Novak pensent que les attaquants exploitent les serveurs Web de systèmes de gestion de contenu non sécurisés, tels que les sites WordPress et Joomla.
Les criminels interviennent dès que vous vous connectez à des comptes dont les informations d'identification sont faibles pour obtenir un accès administrateur aux serveurs.
« La seule chose que les sites ont en commun, c'est qu'ils sont WordPress et, dans certains cas, Joomla. Par conséquent, nous soupçonnons qu'ils profitent de faibles identifiants de connexion pour infecter les sites avec du code malveillant », a déclaré Pavel Novak, analyste ThreatOps chez Avast. Et d'ajouter : « La robustesse du Parrot TDS et sa grande portée le rendent unique ».
Parrot TDS permet aux attaquants de définir des paramètres pour n'afficher les pages de phishing qu'aux victimes potentielles qui remplissent certaines conditions, en tenant compte du type de navigateur de l'utilisateur, des cookies et du site Web dont ils proviennent.
En quoi consiste la campagne FakeUpdate ?
La campagne malveillante FakeUpdate utilise JavaScript pour modifier l'apparence du site et afficher des messages de phishing affirmant que l'utilisateur doit mettre à jour son navigateur.
À l'instar de Parrot TDS, FakeUpdate effectue également une analyse préliminaire pour collecter des informations sur le visiteur du site avant d'afficher le message de phishing. Il s'agit d'un acte de défense visant à déterminer s'il faut ou non afficher le message de phishing, entre autres choses.
L'analyse vérifie quel produit antivirus se trouve sur l'appareil. Le fichier proposé en tant que mise à jour est en fait un outil d'accès à distance appelé NetSupport Manager.
Les cybercriminels à l'origine de la campagne ont configuré l'outil de manière à ce que l'utilisateur ait très peu de chances de le remarquer. Si la victime exécute le fichier, les attaquants ont un accès complet à leur ordinateur et peuvent modifier la charge utile livrée aux victimes à tout moment.
En plus de la campagne FakeUpdate, les chercheurs ont examiné d'autres sites d'hameçonnage hébergés sur les sites Parrot TDS infectés, bien qu'ils ne puissent pas les relier de manière concluante à ce système de gestion du trafic.
Comment les utilisateurs peuvent-ils éviter d'être victimes d'hameçonnage ?
1. Si le site visité est différent de celui attendu, les visiteurs doivent quitter la page et ne pas télécharger de fichiers ni saisir d'informations.
2. De plus, les mises à jour doivent être téléchargées directement à partir des paramètres du navigateur, jamais via d'autres canaux.
Comment les développeurs peuvent-ils protéger les serveurs ?
1. Remplacez tous les fichiers JavaScript et PHP du serveur Web par des fichiers d'origine.
2. Utilisez la dernière version du système de gestion de contenu ou du CMS.
3. Utilisez les dernières versions des modules complémentaires installés.
4. Vérifiez si des tâches sont exécutées automatiquement sur le serveur Web.
5. Vérifiez et configurez les informations d'identification sécurisées et utilisez des informations d'identification uniques pour chaque service.
6. Vérifiez les comptes d'administrateur sur le serveur, en vous assurant que chaque compte appartient à des développeurs et possède des mots de passe forts.
7. Le cas échéant, configurez le deuxième facteur d'authentification pour tous les comptes d'administrateur de serveur Web.
8. Utilisez les modules complémentaires de sécurité disponibles.
9. Analysez tous les fichiers du serveur Web à l'aide d'un programme antivirus.
CONTINUEZ À LIRE :
Más Noticias
Última hora del accidente de trenes en Adamuz (Córdoba), en directo: continúan las labores de búsqueda en los vagones descarriados, donde hay tres fallecidos
El número de víctimas mortales por el descarrilamiento asciende a 40, aunque solo han sido identificadas siete de ellas, por el momento
62 años de cárcel para Fernando Martínez: cometió feminicidio contra su pareja sentimental en el Edomex
La Fiscalía General de Justicia de la entidad informó la sentencia mediante sus canales oficiales
Fans de BTS advierten por estafas y extorsiones de quienes ofrecen boletos
La presidenta de México habló del fenómeno destacando el peso del fandom juvenil en la cultura nacional y la importancia de garantizar un proceso transparente
Prepárase antes de salir: Este es el pronóstico del clima en Valencia este 20 de enero
Para evitar cualquier imprevisto es importante conocer el pronóstico del tiempo
Lotería Nacional: dónde ver los resultados ganadores del Tris de hoy 19 de enero
El sorteo de Tris se lleva a cabo cinco veces al día, desde las 13:00 horas y hasta las 21:00 horas, de lunes a domingo. Estos son los resultados de los sorteos de hoy
