Un nouveau système de gestion du trafic (TDS) malveillant, Parrot TDS, a été découvert et a infecté plusieurs serveurs Web hébergeant plus de 16 500 sites. Les sites Web concernés comprennent des pages de contenu pour adultes, des sites personnels, universitaires et gouvernementaux.
Son apparence est modifiée pour afficher une page de phishing qui prétend que l'utilisateur doit mettre à jour son navigateur.
Lorsqu'un utilisateur exécute le fichier de mise à jour du navigateur proposé, un outil d'accès à distance (RAT) est téléchargé, ce qui donne aux attaquants un accès complet aux ordinateurs des victimes.
« Les systèmes de gestion du trafic servent de passerelle pour la diffusion de diverses campagnes malveillantes sur des sites infectés », a déclaré Jan Rubin, chercheur en logiciels malveillants chez Avast, qui a identifié ce problème. « À l'heure actuelle, une campagne malveillante appelée FakeUpdate (également connue sous le nom de SocGholish) est diffusée via Parrot TDS, mais d'autres activités malveillantes pourraient être menées à l'avenir via TDS. »
Les chercheurs Jan Rubin et Pavel Novak pensent que les attaquants exploitent les serveurs Web de systèmes de gestion de contenu non sécurisés, tels que les sites WordPress et Joomla.
Les criminels interviennent dès que vous vous connectez à des comptes dont les informations d'identification sont faibles pour obtenir un accès administrateur aux serveurs.
« La seule chose que les sites ont en commun, c'est qu'ils sont WordPress et, dans certains cas, Joomla. Par conséquent, nous soupçonnons qu'ils profitent de faibles identifiants de connexion pour infecter les sites avec du code malveillant », a déclaré Pavel Novak, analyste ThreatOps chez Avast. Et d'ajouter : « La robustesse du Parrot TDS et sa grande portée le rendent unique ».
Parrot TDS permet aux attaquants de définir des paramètres pour n'afficher les pages de phishing qu'aux victimes potentielles qui remplissent certaines conditions, en tenant compte du type de navigateur de l'utilisateur, des cookies et du site Web dont ils proviennent.
En quoi consiste la campagne FakeUpdate ?
La campagne malveillante FakeUpdate utilise JavaScript pour modifier l'apparence du site et afficher des messages de phishing affirmant que l'utilisateur doit mettre à jour son navigateur.
À l'instar de Parrot TDS, FakeUpdate effectue également une analyse préliminaire pour collecter des informations sur le visiteur du site avant d'afficher le message de phishing. Il s'agit d'un acte de défense visant à déterminer s'il faut ou non afficher le message de phishing, entre autres choses.
L'analyse vérifie quel produit antivirus se trouve sur l'appareil. Le fichier proposé en tant que mise à jour est en fait un outil d'accès à distance appelé NetSupport Manager.
Les cybercriminels à l'origine de la campagne ont configuré l'outil de manière à ce que l'utilisateur ait très peu de chances de le remarquer. Si la victime exécute le fichier, les attaquants ont un accès complet à leur ordinateur et peuvent modifier la charge utile livrée aux victimes à tout moment.
En plus de la campagne FakeUpdate, les chercheurs ont examiné d'autres sites d'hameçonnage hébergés sur les sites Parrot TDS infectés, bien qu'ils ne puissent pas les relier de manière concluante à ce système de gestion du trafic.
Comment les utilisateurs peuvent-ils éviter d'être victimes d'hameçonnage ?
1. Si le site visité est différent de celui attendu, les visiteurs doivent quitter la page et ne pas télécharger de fichiers ni saisir d'informations.
2. De plus, les mises à jour doivent être téléchargées directement à partir des paramètres du navigateur, jamais via d'autres canaux.
Comment les développeurs peuvent-ils protéger les serveurs ?
1. Remplacez tous les fichiers JavaScript et PHP du serveur Web par des fichiers d'origine.
2. Utilisez la dernière version du système de gestion de contenu ou du CMS.
3. Utilisez les dernières versions des modules complémentaires installés.
4. Vérifiez si des tâches sont exécutées automatiquement sur le serveur Web.
5. Vérifiez et configurez les informations d'identification sécurisées et utilisez des informations d'identification uniques pour chaque service.
6. Vérifiez les comptes d'administrateur sur le serveur, en vous assurant que chaque compte appartient à des développeurs et possède des mots de passe forts.
7. Le cas échéant, configurez le deuxième facteur d'authentification pour tous les comptes d'administrateur de serveur Web.
8. Utilisez les modules complémentaires de sécurité disponibles.
9. Analysez tous les fichiers du serveur Web à l'aide d'un programme antivirus.
CONTINUEZ À LIRE :
Más Noticias
James contra Modrić: el duelo de veteranos que buscarán destacar en su última Copa del Mundo
El partido entre Colombia y Croacia será el escenario del reencuentro entre dos figuras que pasaron por el Real Madrid en su mejor momento
Debate presidencial 2026: memes y frases virales marcaron la reacción de los usuarios en redes durante la tercera jornada
La participación de candidatos como Keiko Fujimori, Mesías Guevara, Jorge Nieto, Roberto Chiabra y Rafael Belaunde marcó la conversación en redes, donde los usuarios respondieron con humor digital
Abogada de Hollman Morris se pronunció sobre denuncias de presunto acoso y el estado del proceso judicial
La defensa aseguró que no existen sanciones ni procesos vigentes contra el gerente de Rtvc y explicó que el caso en curso corresponde a una denuncia por injuria y calumnia interpuesta por él mismo
Abogado de la denunciante de Nicolás Rodríguez aseguró que la joven reconoció al futbolista después del presunto abuso
El jurista Francisco Bernate indicó que la joven asegura haber perdido el conocimiento y que horas más tarde despertó en la misma cama con el extremo de Nacional
EN VIVO |Con 87 votos a favor y 41 en contra, senadores aprueban en lo general el Plan B
Morena requiere la mayoría calificada para avanzar el proyecto enviado por el Poder Ejecutivo
