Была обнаружена новая вредоносная система управления трафиком (TDS) Parrot TDS, которая заразила несколько веб-серверов, на которых размещено более 16 500 сайтов. К затронутым веб-сайтам относятся страницы контента для взрослых, личные, университетские и правительственные сайты.
Его внешний вид изменен, чтобы отобразить фишинговую страницу, в которой утверждается, что пользователю необходимо обновить свой браузер.
Когда пользователь запускает предлагаемый файл обновления браузера, загружается средство удаленного доступа (RAT), которое дает злоумышленникам полный доступ к компьютерам жертв.
«Системы управления трафиком служат шлюзом для проведения различных вредоносных кампаний на зараженных сайтах», — говорит Ян Рубин, исследователь вредоносных программ в Avast, который выявил эту проблему. «В настоящее время вредоносная кампания под названием FakeUpdate (также известная как SocgHolish) распространяется через Parrot TDS, но другие вредоносные действия могут осуществляться в будущем через TDS».
Исследователи Ян Рубин и Павел Новак считают, что злоумышленники используют веб-серверы небезопасных систем управления контентом, таких как сайты WordPress и Joomla.
Преступники начинают действовать в тот момент, когда вы входите в учетные записи со слабыми учетными данными, чтобы получить доступ администратора к серверам.
«Единственное, что объединяет сайты, это WordPress и, в некоторых случаях, сайты Joomla. Поэтому мы подозреваем, что они используют слабые учетные данные для входа в систему для заражения сайтов вредоносным кодом», — говорит Павел Новак, аналитик ThreatOps в Avast. Он добавил: «Надежность Parrot TDS и его большой охват делают его уникальным».
Parrot TDS позволяет злоумышленникам устанавливать параметры для отображения фишинговых страниц только потенциальным жертвам, которые отвечают определенным условиям, с учетом типа браузера пользователя, файлов cookie и веб-сайта, с которого они приходят.
О чем идет речь в кампании FakeUpdate
Вредоносная кампания FakeUpdate использует JavaScript для изменения внешнего вида сайта и отображения фишинговых сообщений, утверждающих, что пользователю необходимо обновить свой браузер.
Как и Parrot TDS, FakeUpdate также выполняет предварительное сканирование для сбора информации о посетителе сайта перед отображением фишингового сообщения. Это защита, позволяющая определить, следует ли отображать фишинговое сообщение, среди прочего.
Сканирование проверяет, какой антивирусный продукт установлен на устройстве. Файл, предлагаемый в качестве обновления, на самом деле представляет собой средство удаленного доступа под названием NetSupport Manager.
Киберпреступники, стоящие за кампанией, настроили инструмент таким образом, что у пользователя очень мало шансов его заметить. Если жертва запускает файл, злоумышленники получают полный доступ к своему компьютеру и могут изменить полезную нагрузку, доставленную жертвам в любое время.
В дополнение к кампании FakeUpdate исследователи изучили другие фишинговые сайты, размещенные на зараженных сайтах Parrot TDS, хотя они не могут окончательно связать их с этой системой управления трафиком.
Как пользователи могут не стать жертвами фишинга:
1. Если посещаемый сайт выглядит иначе, чем ожидалось, посетителям следует покинуть страницу, не загружая никаких файлов и не вводя какую-либо информацию.
2. Кроме того, обновления необходимо загружать непосредственно из настроек браузера, а не через другие каналы.
Как разработчики могут защитить серверы:
1. Замените все файлы JavaScript и PHP на веб-сервере оригинальными файлами.
2. Используйте последнюю версию системы управления контентом или CMS.
3. Используйте последние версии установленных надстроек.
4. Проверьте, есть ли задачи, выполняемые автоматически на веб-сервере.
5. Проверяйте и настраивайте безопасные учетные данные и используйте уникальные учетные данные для каждой службы.
6. Проверьте учетные записи администратора на сервере, убедитесь, что каждая учетная запись принадлежит разработчикам и имеет надежные пароли.
7. При необходимости настройте второй фактор аутентификации для всех учетных записей администратора веб-сервера.
8. Используйте доступные надстройки безопасности.
9. Сканируйте все файлы на веб-сервере с помощью антивирусной программы.
ПРОДОЛЖАЙТЕ ЧИТАТЬ:
Más Noticias
Llegan restos de “El Mencho” al panteón de Zapopan: Ejército custodió su cortejo fúnebre
La carroza con el cuerpo del líder del CJNG partió de Funeraria La Paz bajo un fuerte operativo de fuerzas federales
El analista internacional Fabián Calle, sobre el ataque a Irán: “No hay casos de cambio de régimen por bombardeo”
El especialista en geopolítica advierte que destruir la capacidad ofensiva iraní no garantiza una fractura política interna, y señala que la verdadera variable estratégica de Washington es China
Atlético Nacional vs. Millonarios: hora y dónde ver el ‘Superclásico colombiano’ que define el clasificado a la fase de grupos de la Copa Sudamericana
El único partido de la llave se jugará en el estadio Atanasio Girardot, luego del sorteo realizado por la Conmebol, y definirá uno de los dos clasificados a la importantes instancia
Según un comparativo de las diferentes encuestas, así está la intención de voto de los colombianos: experto hizo un análisis de los resultados
Las encuestas más recientes sitúan a Iván Cepeda como favorito en la intención de voto para las presidenciales, seguido por Abelardo de la Espriella. Claudia López y Paloma Valencia se ubican en el tercer lugaer
Libros de Amazon España: 10 títulos para leer en tu tiempo libre
Estos son los nuevos éxitos literarios que conectan con quienes buscan respuestas, aventuras o nuevas perspectivas
