Bedrohungsakteure fälschen Cloudflare-DDoS-Bot-Checks, um einen Remote-Access-Trojaner (RAT) auf Systemen abzulegen, die Besuchern einiger zuvor kompromittierter WordPress-Websites gehören.
Forscher aus Sucuri entdeckten kürzlich den neuen Angriffsvektor bei der Untersuchung von a Anstieg von JavaScript-Injection-Angriffen auf WordPress Websites. Sie beobachteten, wie die Angreifer ein Skript in die WordPress-Websites einschleusten, das eine gefälschte Eingabeaufforderung auslöste, die vorgab, die Website zu sein, die überprüft, ob ein Website-Besucher ein Mensch oder ein DDoS-Bot ist.
Viele Web Application Firewalls (WAFs) und Content-Distribution-Network-Dienste liefern solche Warnungen routinemäßig als Teil ihres DDoS-Schutzdienstes. Sucuri beobachtete dieses neue JavaScript auf WordPress-Sites, das ein gefälschtes Cloudflare-DDoS-Schutz-Popup auslöste.
Benutzer, die auf die gefälschte Eingabeaufforderung klickten, um auf die Website zuzugreifen, wurden schließlich mit einer bösartigen .iso-Datei auf ihre Systeme heruntergeladen. Sie erhielten dann eine neue Nachricht, in der sie aufgefordert wurden, die Datei zu öffnen, damit sie einen Bestätigungscode für den Zugriff auf die Website erhalten. „Da diese Art von Browser-Überprüfungen im Web so verbreitet sind, würden viele Benutzer nicht zweimal überlegen, ob sie auf diese Eingabeaufforderung klicken, um auf die Website zuzugreifen, die sie besuchen möchten“, schrieb Sucuri. „Was die meisten Benutzer nicht erkennen, ist, dass diese Datei tatsächlich ein Fernzugriffstrojaner ist, der zum Zeitpunkt dieses Beitrags derzeit von 13 Sicherheitsanbietern gemeldet wird.“
Gefährliche RATTE
Sucuri identifizierte den Fernzugriffs-Trojaner als NetSupport RAT, ein Malware-Tool, das Ransomware-Akteure früher verwendet haben, um Systeme zu erfassen, bevor sie Ransomware darauf auslieferten. Die RAT wurde auch verwendet, um Racoon Stealer fallen zu lassen, einen bekannten Informationsdieb, der Anfang des Jahres kurzzeitig außer Sichtweite war wieder in die Bedrohungslandschaft eintauchen im Juni. Racoon Stealer tauchte 2019 auf und war einer der produktivsten Informationsdiebe des Jahres 2021. Bedrohungsakteure haben es auf verschiedene Weise verbreitet, darunter Malware-as-a-Service-Modelle und indem sie es auf Websites platziert haben, die Raubkopien verkaufen. Mit den gefälschten Cloudflare-DDoS-Schutzaufforderungen haben Angreifer jetzt eine neue Möglichkeit, die Malware zu verbreiten.
„Bedrohungsakteure, insbesondere beim Phishing, verwenden alles, was legitim aussieht, um Benutzer zu täuschen“, sagt John Bambenek, Principal Threat Hunter bei Netenrich. Da sich die Menschen an Mechanismen wie Captcha zum Erkennen und Blockieren von Bots gewöhnen, ist es für Bedrohungsakteure sinnvoll, dieselben Mechanismen zu verwenden, um zu versuchen, Benutzer zu täuschen, sagt er. „Dies kann nicht nur verwendet werden, um Leute dazu zu bringen, Malware zu installieren, sondern könnte auch für ‚Anmeldeinformationsprüfungen' verwendet werden, um Anmeldeinformationen von großen Cloud-Diensten (wie etwa) Google, Microsoft und Facebook zu stehlen“, sagt Bambenek.
Letztendlich brauchen Website-Betreiber eine Möglichkeit, den Unterschied zwischen einem echten Benutzer und einem synthetischen Benutzer oder einem Bot zu erkennen, stellt er fest. Aber je effektiver die Tools zur Erkennung von Bots werden, desto schwieriger wird es für die Benutzer, sie zu entschlüsseln, fügt Bambenek hinzu.
Charles Conley, leitender Cyber-Sicherheitsforscher bei nVisium, sagt, dass die Verwendung von Inhalts-Spoofing, wie es Sucuri beobachtet hat, um eine RAT zu liefern, nicht besonders neu ist. Cyberkriminelle haben routinemäßig geschäftsbezogene Apps und Dienste von Unternehmen wie Microsoft, Zoom und DocuSign gefälscht, um Malware zu verbreiten und Benutzer dazu zu verleiten, alle Arten von unsicherer Software und Aktionen auszuführen.
Bei browserbasierten Spoofing-Angriffen können jedoch Standardeinstellungen in Browsern wie Chrome, die die vollständige URL verbergen, oder Betriebssystemen wie Windows, die Dateierweiterungen verbergen, es selbst anspruchsvollen Personen erschweren, zu erkennen, was sie herunterladen und woher es kommt. Conley sagt.
