Un nouveau système de gestion du trafic (TDS) malveillant, Parrot TDS, a été découvert et a infecté plusieurs serveurs Web hébergeant plus de 16 500 sites. Les sites Web concernés comprennent des pages de contenu pour adultes, des sites personnels, universitaires et gouvernementaux.
Son apparence est modifiée pour afficher une page de phishing qui prétend que l'utilisateur doit mettre à jour son navigateur.
Lorsqu'un utilisateur exécute le fichier de mise à jour du navigateur proposé, un outil d'accès à distance (RAT) est téléchargé, ce qui donne aux attaquants un accès complet aux ordinateurs des victimes.
« Les systèmes de gestion du trafic servent de passerelle pour la diffusion de diverses campagnes malveillantes sur des sites infectés », a déclaré Jan Rubin, chercheur en logiciels malveillants chez Avast, qui a identifié ce problème. « À l'heure actuelle, une campagne malveillante appelée FakeUpdate (également connue sous le nom de SocGholish) est diffusée via Parrot TDS, mais d'autres activités malveillantes pourraient être menées à l'avenir via TDS. »
Les chercheurs Jan Rubin et Pavel Novak pensent que les attaquants exploitent les serveurs Web de systèmes de gestion de contenu non sécurisés, tels que les sites WordPress et Joomla.
Les criminels interviennent dès que vous vous connectez à des comptes dont les informations d'identification sont faibles pour obtenir un accès administrateur aux serveurs.
« La seule chose que les sites ont en commun, c'est qu'ils sont WordPress et, dans certains cas, Joomla. Par conséquent, nous soupçonnons qu'ils profitent de faibles identifiants de connexion pour infecter les sites avec du code malveillant », a déclaré Pavel Novak, analyste ThreatOps chez Avast. Et d'ajouter : « La robustesse du Parrot TDS et sa grande portée le rendent unique ».
Parrot TDS permet aux attaquants de définir des paramètres pour n'afficher les pages de phishing qu'aux victimes potentielles qui remplissent certaines conditions, en tenant compte du type de navigateur de l'utilisateur, des cookies et du site Web dont ils proviennent.
En quoi consiste la campagne FakeUpdate ?
La campagne malveillante FakeUpdate utilise JavaScript pour modifier l'apparence du site et afficher des messages de phishing affirmant que l'utilisateur doit mettre à jour son navigateur.
À l'instar de Parrot TDS, FakeUpdate effectue également une analyse préliminaire pour collecter des informations sur le visiteur du site avant d'afficher le message de phishing. Il s'agit d'un acte de défense visant à déterminer s'il faut ou non afficher le message de phishing, entre autres choses.
L'analyse vérifie quel produit antivirus se trouve sur l'appareil. Le fichier proposé en tant que mise à jour est en fait un outil d'accès à distance appelé NetSupport Manager.
Les cybercriminels à l'origine de la campagne ont configuré l'outil de manière à ce que l'utilisateur ait très peu de chances de le remarquer. Si la victime exécute le fichier, les attaquants ont un accès complet à leur ordinateur et peuvent modifier la charge utile livrée aux victimes à tout moment.
En plus de la campagne FakeUpdate, les chercheurs ont examiné d'autres sites d'hameçonnage hébergés sur les sites Parrot TDS infectés, bien qu'ils ne puissent pas les relier de manière concluante à ce système de gestion du trafic.
Comment les utilisateurs peuvent-ils éviter d'être victimes d'hameçonnage ?
1. Si le site visité est différent de celui attendu, les visiteurs doivent quitter la page et ne pas télécharger de fichiers ni saisir d'informations.
2. De plus, les mises à jour doivent être téléchargées directement à partir des paramètres du navigateur, jamais via d'autres canaux.
Comment les développeurs peuvent-ils protéger les serveurs ?
1. Remplacez tous les fichiers JavaScript et PHP du serveur Web par des fichiers d'origine.
2. Utilisez la dernière version du système de gestion de contenu ou du CMS.
3. Utilisez les dernières versions des modules complémentaires installés.
4. Vérifiez si des tâches sont exécutées automatiquement sur le serveur Web.
5. Vérifiez et configurez les informations d'identification sécurisées et utilisez des informations d'identification uniques pour chaque service.
6. Vérifiez les comptes d'administrateur sur le serveur, en vous assurant que chaque compte appartient à des développeurs et possède des mots de passe forts.
7. Le cas échéant, configurez le deuxième facteur d'authentification pour tous les comptes d'administrateur de serveur Web.
8. Utilisez les modules complémentaires de sécurité disponibles.
9. Analysez tous les fichiers du serveur Web à l'aide d'un programme antivirus.
CONTINUEZ À LIRE :
Más Noticias
Melissa Klug revela que podría salir de las islas Maldivas tras dos semanas varada: “Con fe espero regresar”
La empresaria compartió con sus seguidores que existe esperanza de regresar al Perú, tras el cierre de rutas internacionales por el conflicto en Dubái.
Alerta roja por activación de quebradas y huaicos en estas regiones: lluvias acumuladas elevan el peligro
Las autoridades nacionales informan sobre la continuidad de la alerta ante la posibilidad de deslizamientos y flujos de lodo que afectan a varias provincias, aconsejando reforzar planes preventivos y seguir indicaciones oficiales
¿Se canceló tu vuelo? Consulta el estado de las operaciones del AICM
Entérate sobre el estatus de tu vuelo y si sufrió alguna alteración en su itinerario
Presuntos enfrentamientos del Clan del Golfo terminó en masacre de cinco personas en Vegachí, Antioquia
Los cadáveres fueron localizados en un área rural de Corinto, mientras se analizan las causas del suceso y se indaga sobre la posible participación de varias organizaciones armadas en el departamento
México vs Brasil Femenil EN VIVO: con dominio de la Verde Amarela, el marcador se mantiene 0-0 al concluir el primer tiempo
la Selección Mexicana se enfrenta a la canarinha en el Estadio Ciudad de los Deportes
