Trusselsaktører spoofer Cloudflare DDoS-bot-tjek i et forsøg på at droppe en fjernadgangs-trojaner (RAT) på systemer, der tilhører besøgende på nogle tidligere kompromitterede WordPress-websteder.
Forskere fra Sucuri opdagede for nylig den nye angrebsvektor, mens de undersøgte en stigning i JavaScript-injektionsangreb rettet mod WordPress websteder. De observerede, at angriberne injicerede et script på WordPress-webstederne, der udløste en falsk prompt, der hævdede at være webstedet, der bekræftede, om en besøgende på webstedet er et menneske eller en DDoS-bot.
Mange webapplikationsfirewalls (WAF'er) og indholdsdistributionsnetværkstjenester leverer rutinemæssigt sådanne advarsler som en del af deres DDoS-beskyttelsestjeneste. Sucuri observerede dette nye JavaScript på WordPress-websteder, der udløste en falsk Cloudflare DDoS-beskyttelses-pop-up.
Brugere, der klikkede på den falske prompt for at få adgang til webstedet, endte med at downloade en ondsindet .iso-fil til deres systemer. De modtog derefter en ny besked, der bad dem om at åbne filen, så de kan modtage en bekræftelseskode for at få adgang til webstedet. "Da disse typer browsertjek er så almindelige på nettet, ville mange brugere ikke tænke sig om to gange, før de klikker på denne prompt for at få adgang til det websted, de forsøger at besøge," skrev Sucuri. "Hvad de fleste brugere ikke er klar over, er, at denne fil i virkeligheden er en fjernadgangstrojaner, som i øjeblikket er markeret af 13 sikkerhedsleverandører på tidspunktet for dette indlæg."
Farlig RAT
Sucuri identificerede fjernadgangs-trojaneren som NetSupport RAT, et malware-værktøj, som ransomware-aktører tidligere har brugt til at footprint-systemer, før de leverede ransomware på dem. RAT'en er også blevet brugt til at droppe Racoon Stealer, en velkendt informationstyver, der kortvarigt faldt ud af syne tidligere på året før bølger tilbage på trusselslandskabet i juni. Racoon Stealer dukkede op i 2019 og var en af de mest produktive informationstyvere i 2021. Trusselsaktører har distribueret den på en række forskellige måder, herunder malware-as-a-service-modeller og ved at plante den på websteder, der sælger piratkopieret software. Med de falske Cloudflare DDoS-beskyttelsesprompter har trusselsaktører nu en ny måde at distribuere malwaren på.
"Trusselsaktører, især ved phishing, vil bruge alt, der ser legitimt ud, for at narre brugere," siger John Bambenek, hovedtrusselsjæger hos Netenrich. Efterhånden som folk vænner sig til mekanismer som Captcha's til at opdage og blokere bots, giver det mening for trusselsaktører at bruge de samme mekanismer til at forsøge at narre brugere, siger han. "Dette kan ikke kun bruges til at få folk til at installere malware, men det kan også bruges til 'legitimationstjek' til at stjæle legitimationsoplysninger fra store cloud-tjenester (såsom) Google, Microsoft og Facebook," siger Bambenek.
I sidste ende har webstedsoperatører brug for en måde at kende forskel på mellem en rigtig bruger og en syntetisk eller en bot, bemærker han. Men ofte jo mere effektive værktøjerne til at opdage bots bliver, jo sværere bliver de for brugerne at afkode, tilføjer Bambenek.
Charles Conley, senior cybersikkerhedsforsker hos nVisium, siger, at det ikke er specielt nyt at bruge indholdsspoofing af den slags, som Sucuri observerede for at levere en RAT. Cyberkriminelle har rutinemæssigt forfalsket forretningsrelaterede apps og tjenester fra virksomheder som Microsoft, Zoom og DocuSign for at levere malware og narre brugere til at udføre alle former for usikker software og handlinger.
Men med browserbaserede spoofingangreb kan standardindstillinger på browsere som Chrome, der skjuler den fulde URL eller operativsystemer som Windows, der skjuler filtypenavne, gøre det sværere for selv kræsne personer at fortælle, hvad de downloader, og hvor det er fra, siger Conley.
