È stato scoperto un nuovo sistema di gestione del traffico dannoso (TDS), Parrot TDS, che ha infettato diversi server Web che ospitano più di 16.500 siti. I siti interessati includono pagine di contenuti per adulti, siti personali, universitari e governativi.
Il suo aspetto è stato modificato per visualizzare una pagina di phishing che afferma che l'utente deve aggiornare il proprio browser.
Quando un utente esegue il file di aggiornamento del browser offerto, viene scaricato uno strumento di accesso remoto (RAT), che offre agli aggressori l'accesso completo ai computer delle vittime.
«I sistemi di gestione del traffico fungono da gateway per la consegna di varie campagne dannose su siti infetti», ha affermato Jan Rubin, ricercatore di malware presso Avast, che ha identificato questo problema. «In questo momento, una campagna dannosa chiamata FakeUpdate (noto anche come SOCGHolish) viene distribuita tramite Parrot TDS, ma altre attività dannose potrebbero essere svolte in futuro tramite TDS.»
I ricercatori Jan Rubin e Pavel Novak ritengono che gli aggressori stiano sfruttando i server web di sistemi di gestione dei contenuti insicuri, come i siti WordPress e Joomla.
I criminali entrano in gioco nel momento in cui accedi ad account con credenziali deboli per ottenere l'accesso dell'amministratore ai server.
«L'unica cosa che i siti hanno in comune è che sono WordPress e, in alcuni casi, siti Joomla. Pertanto, sospettiamo che sfruttino credenziali di accesso deboli per infettare i siti con codice dannoso», ha affermato Pavel Novak, analista di ThreatOps di Avast. E ha aggiunto: «La robustezza di Parrot TDS e la sua grande portata lo rendono unico».
Parrot TDS consente agli aggressori di impostare parametri per visualizzare solo le pagine di phishing a potenziali vittime che soddisfano determinate condizioni, tenendo conto del tipo di browser dell'utente, dei cookie e del sito Web da cui provengono.
Cos'è la campagna FakeUpdate?
La campagna malevola di FakeUpdate utilizza JavaScript per modificare l'aspetto del sito e visualizzare messaggi di phishing in cui si afferma che l'utente deve aggiornare il proprio browser.
Come Parrot TDS, anche FakeUpdate esegue una scansione preliminare per raccogliere informazioni sul visitatore del sito prima di visualizzare il messaggio di phishing. Questo è un atto di difesa per determinare se visualizzare o meno il messaggio di phishing, tra le altre cose.
La scansione verifica quale prodotto antivirus è presente sul dispositivo. Il file offerto come aggiornamento è in realtà uno strumento di accesso remoto chiamato NetSupport Manager.
I criminali informatici dietro la campagna hanno configurato lo strumento in modo tale che l'utente abbia pochissime possibilità di notarlo. Se la vittima esegue il file, gli aggressori ottengono pieno accesso al proprio computer e possono modificare il carico utile consegnato alle vittime in qualsiasi momento.
Oltre alla campagna FakeUpdate, i ricercatori hanno esaminato altri siti di phishing ospitati sui siti Parrot TDS infetti, sebbene non possano collegarli in modo definitivo a quel sistema di gestione del traffico.
Come possono gli utenti evitare di diventare vittime del phishing:
1. Se il sito visitato ha un aspetto diverso dal previsto, i visitatori devono lasciare la pagina e non scaricare alcun file o inserire alcuna informazione.
2. Inoltre, gli aggiornamenti devono essere scaricati direttamente dalle impostazioni del browser, mai attraverso altri canali.
Come gli sviluppatori possono proteggere i server:
1. Sostituisci tutti i file JavaScript e PHP sul server web con file originali.
2. Utilizza l'ultima versione del sistema di gestione dei contenuti o del CMS.
3. Utilizza le ultime versioni dei componenti aggiuntivi installati.
4. Controlla se ci sono attività in esecuzione automaticamente sul server web.
5. Verifica e configura credenziali sicure e utilizza credenziali univoche per ogni servizio.
6. Controlla gli account amministratore sul server, assicurandoti che ogni account appartenga agli sviluppatori e abbia password complesse.
7. Se applicabile, configurare il secondo fattore di autenticazione per tutti gli account di amministratore del server Web.
8. Utilizza i componenti aggiuntivi di sicurezza disponibili.
9. Scansiona tutti i file sul server web con un programma antivirus.
CONTINUA A LEGGERE:
Más Noticias
La REDIM subraya la necesidad de atender el impacto de noticias violentas en la niñez mexicana
La organización subraya el derecho de niñas y adolescentes a estar informados, adaptando el lenguaje a su edad y evitando la sobreexposición
Pasta con atún: prepara este saludable platillo en pocos minutos
La preparación fría que combina pastas cortas, conservas de pescado y vegetales frescos ha ganado popularidad en los meses calurosos de año
Suiza congeló más de USD 880 millones en activos vinculados a Nicolás Maduro y su entorno
Las autoridades suizas confirmaron que la medida busca prevenir la fuga de fondos sospechosos y garantizar que sean devueltos al pueblo venezolano si se comprueba su origen ilícito
Ministro de Hacienda aclaró la polémica por los más de $13.000 millones que costará la Cumbre Celac-África: “Es una prioridad estatégica”
Germán Ávila, titular de la cartera, se refirió en un encuentro con los medios de comunicación, en el que también estuvo la vicepresidenta Francia Márquez, sobre la importancia de este evento, pese a las duras críticas que generó la pasada cumbre, con sede en Santa Marta, a la que desistieron varios líderes europeos
Jefferson Cáceres cerró con sorpresa su etapa en el Dunfermline AFC por deseo de volver a Melgar para disputar Liga 1 2026
El joven futbolista peruano había maravillado por su traspaso al Sheffield United, pero a partir de entonces todo vino cuesta abajo. Aparecieron los ‘pars’ como salvación, aunque sus problemas de adaptación devinieron en una salida abrupta
