È stato scoperto un nuovo sistema di gestione del traffico dannoso (TDS), Parrot TDS, che ha infettato diversi server Web che ospitano più di 16.500 siti. I siti interessati includono pagine di contenuti per adulti, siti personali, universitari e governativi.
Il suo aspetto è stato modificato per visualizzare una pagina di phishing che afferma che l'utente deve aggiornare il proprio browser.
Quando un utente esegue il file di aggiornamento del browser offerto, viene scaricato uno strumento di accesso remoto (RAT), che offre agli aggressori l'accesso completo ai computer delle vittime.
«I sistemi di gestione del traffico fungono da gateway per la consegna di varie campagne dannose su siti infetti», ha affermato Jan Rubin, ricercatore di malware presso Avast, che ha identificato questo problema. «In questo momento, una campagna dannosa chiamata FakeUpdate (noto anche come SOCGHolish) viene distribuita tramite Parrot TDS, ma altre attività dannose potrebbero essere svolte in futuro tramite TDS.»
I ricercatori Jan Rubin e Pavel Novak ritengono che gli aggressori stiano sfruttando i server web di sistemi di gestione dei contenuti insicuri, come i siti WordPress e Joomla.
I criminali entrano in gioco nel momento in cui accedi ad account con credenziali deboli per ottenere l'accesso dell'amministratore ai server.
«L'unica cosa che i siti hanno in comune è che sono WordPress e, in alcuni casi, siti Joomla. Pertanto, sospettiamo che sfruttino credenziali di accesso deboli per infettare i siti con codice dannoso», ha affermato Pavel Novak, analista di ThreatOps di Avast. E ha aggiunto: «La robustezza di Parrot TDS e la sua grande portata lo rendono unico».
Parrot TDS consente agli aggressori di impostare parametri per visualizzare solo le pagine di phishing a potenziali vittime che soddisfano determinate condizioni, tenendo conto del tipo di browser dell'utente, dei cookie e del sito Web da cui provengono.
Cos'è la campagna FakeUpdate?
La campagna malevola di FakeUpdate utilizza JavaScript per modificare l'aspetto del sito e visualizzare messaggi di phishing in cui si afferma che l'utente deve aggiornare il proprio browser.
Come Parrot TDS, anche FakeUpdate esegue una scansione preliminare per raccogliere informazioni sul visitatore del sito prima di visualizzare il messaggio di phishing. Questo è un atto di difesa per determinare se visualizzare o meno il messaggio di phishing, tra le altre cose.
La scansione verifica quale prodotto antivirus è presente sul dispositivo. Il file offerto come aggiornamento è in realtà uno strumento di accesso remoto chiamato NetSupport Manager.
I criminali informatici dietro la campagna hanno configurato lo strumento in modo tale che l'utente abbia pochissime possibilità di notarlo. Se la vittima esegue il file, gli aggressori ottengono pieno accesso al proprio computer e possono modificare il carico utile consegnato alle vittime in qualsiasi momento.
Oltre alla campagna FakeUpdate, i ricercatori hanno esaminato altri siti di phishing ospitati sui siti Parrot TDS infetti, sebbene non possano collegarli in modo definitivo a quel sistema di gestione del traffico.
Come possono gli utenti evitare di diventare vittime del phishing:
1. Se il sito visitato ha un aspetto diverso dal previsto, i visitatori devono lasciare la pagina e non scaricare alcun file o inserire alcuna informazione.
2. Inoltre, gli aggiornamenti devono essere scaricati direttamente dalle impostazioni del browser, mai attraverso altri canali.
Come gli sviluppatori possono proteggere i server:
1. Sostituisci tutti i file JavaScript e PHP sul server web con file originali.
2. Utilizza l'ultima versione del sistema di gestione dei contenuti o del CMS.
3. Utilizza le ultime versioni dei componenti aggiuntivi installati.
4. Controlla se ci sono attività in esecuzione automaticamente sul server web.
5. Verifica e configura credenziali sicure e utilizza credenziali univoche per ogni servizio.
6. Controlla gli account amministratore sul server, assicurandoti che ogni account appartenga agli sviluppatori e abbia password complesse.
7. Se applicabile, configurare il secondo fattore di autenticazione per tutti gli account di amministratore del server Web.
8. Utilizza i componenti aggiuntivi di sicurezza disponibili.
9. Scansiona tutti i file sul server web con un programma antivirus.
CONTINUA A LEGGERE:
Más Noticias
La chihuahua que sobrevivió abrazada a su dueño entre los restos del fatídico helicóptero Mi-17 que cayó en Arequipa
Durante más de un día, la pequeña perrita permaneció junto al cuerpo de su dueño entre los restos del helicóptero siniestrado en Chala Viejo. Su lealtad y resistencia conmovieron a rescatistas
Sheinbaum pide a jóvenes mexicanos defender la soberanía nacional en ceremonia del día de la bandera
Con la participación de 920 escoltas de secundarias y preparatorias de las 31 entidades del país, la presidenta presidió la ceremonia conmemorativa junto con los titulares de los tres poderes de la Unión y el gabinete de seguridad.
Medellín vs. Liverpool EN VIVO, Copa Libertadores: siga el minuto a minuto en el Atanasio Girardot
El Poderoso de la Montaña espera pasar a la fase 3 del torneo de clubes más importante de América a la hora de recibir al equipo uruguayo
Shakira regresa a las Pirámides de Egipto con su concierto número 11 para 2026 con ‘Las mujeres ya no lloran Tour’
Después de 20 años de haber hecho su primera aparición a los pies de las emblemáticas figuras del país africano, la colombiana se posiciona con su gira mundial como un éxito en su carrera
Internauta que hostigó a Francia Márquez con insultos racistas sería condenado hasta a 4 años y 5 meses de prisión: esto se sabe
La Fiscalía General de la Nación determinó que los calificativos de Armando Luis Angulo Paternina atentaron contra la integridad y los derechos de la vicepresidenta de la República
