Ψεύτικες ειδοποιήσεις προστασίας DDoS διανέμουν επικίνδυνο RAT

Οι φορείς απειλών πλαστογραφούν τους ελέγχους bot του Cloudflare DDoS σε μια προσπάθεια να απορρίψουν έναν Trojan απομακρυσμένης πρόσβασης (RAT) σε συστήματα που ανήκουν σε επισκέπτες ορισμένων ιστοτόπων WordPress που είχαν παραβιαστεί στο παρελθόν.

Ερευνητές από το Sucuri εντόπισαν πρόσφατα τον νέο φορέα επίθεσης ενώ ερευνούσαν α αύξηση των επιθέσεων ένεσης JavaScript που στοχεύουν το WordPress τοποθεσίες. Παρατήρησαν τους επιτιθέμενους να εισάγουν ένα σενάριο στους ιστότοπους του WordPress που πυροδότησε ένα ψεύτικο μήνυμα που ισχυριζόταν ότι ήταν ο ιστότοπος που επαληθεύει αν ένας επισκέπτης του ιστότοπου είναι άνθρωπος ή bot DDoS.

Πολλά τείχη προστασίας εφαρμογών Ιστού (WAF) και υπηρεσίες δικτύων διανομής περιεχομένου παρέχουν συνήθως τέτοιες ειδοποιήσεις ως μέρος της υπηρεσίας προστασίας DDoS. Η Sucuri παρατήρησε αυτό το νέο JavaScript σε ιστότοπους WordPress που ενεργοποιεί ένα ψεύτικο αναδυόμενο παράθυρο προστασίας Cloudflare DDoS.

Οι χρήστες που έκαναν κλικ στο ψεύτικο μήνυμα για πρόσβαση στον ιστότοπο κατέληξαν με ένα κακόβουλο αρχείο .iso που κατέβασαν στα συστήματά τους. Στη συνέχεια έλαβαν ένα νέο μήνυμα που τους ζητούσε να ανοίξουν το αρχείο, ώστε να μπορούν να λάβουν έναν κωδικό επαλήθευσης για την πρόσβαση στον ιστότοπο. «Δεδομένου ότι αυτοί οι τύποι ελέγχων του προγράμματος περιήγησης είναι τόσο συνηθισμένοι στον Ιστό, πολλοί χρήστες δεν θα το σκέφτονταν δύο φορές πριν κάνουν κλικ σε αυτό το μήνυμα για να αποκτήσουν πρόσβαση στον ιστότοπο που προσπαθούν να επισκεφτούν», έγραψε ο Sucuri. "Αυτό που οι περισσότεροι χρήστες δεν συνειδητοποιούν είναι ότι αυτό το αρχείο είναι στην πραγματικότητα ένας trojan απομακρυσμένης πρόσβασης, που επί του παρόντος έχει επισημανθεί από 13 προμηθευτές ασφαλείας τη στιγμή αυτής της ανάρτησης."

Επικίνδυνος RAT

Η Sucuri αναγνώρισε τον Trojan απομακρυσμένης πρόσβασης ως NetSupport RAT, ένα εργαλείο κακόβουλου λογισμικού που είχαν χρησιμοποιήσει προηγουμένως οι φορείς ransomware για να αποτυπώσουν συστήματα πριν από την παράδοση ransomware σε αυτά. Το RAT έχει επίσης χρησιμοποιηθεί για να ρίξει το Racoon Stealer, έναν πολύ γνωστό κλέφτη πληροφοριών που έφυγε για λίγο από την οπτική γωνία νωρίτερα αυτό το έτος πριν επιστρέφοντας στο τοπίο απειλής τον Ιούνιο. Το Racoon Stealer εμφανίστηκε το 2019 και ήταν ένας από τους πιο παραγωγικούς κλέφτες πληροφοριών του 2021. Οι ηθοποιοί του Threat το έχουν διανείμει με διάφορους τρόπους, συμπεριλαμβανομένων μοντέλων κακόβουλου λογισμικού ως υπηρεσία και τοποθετώντας το σε ιστότοπους που πωλούν πειρατικό λογισμικό. Με τις πλαστές προτροπές προστασίας Cloudflare DDoS, οι φορείς απειλών έχουν τώρα έναν νέο τρόπο διανομής του κακόβουλου λογισμικού.

«Οι φορείς απειλών, ιδιαίτερα όταν το phishing, θα χρησιμοποιήσουν οτιδήποτε φαίνεται νόμιμο για να ξεγελάσουν τους χρήστες», λέει ο John Bambenek, κύριος κυνηγός απειλών στη Netenrich. Καθώς οι άνθρωποι συνηθίζουν σε μηχανισμούς όπως ο Captcha για τον εντοπισμό και τον αποκλεισμό των bots, είναι λογικό οι φορείς απειλών να χρησιμοποιούν αυτούς τους ίδιους μηχανισμούς για να προσπαθήσουν να ξεγελάσουν τους χρήστες, λέει. "Αυτό όχι μόνο μπορεί να χρησιμοποιηθεί για να κάνει τους ανθρώπους να εγκαταστήσουν κακόβουλο λογισμικό, αλλά θα μπορούσε να χρησιμοποιηθεί για "ελέγχους διαπιστευτηρίων" για την κλοπή διαπιστευτηρίων μεγάλων υπηρεσιών cloud (όπως) η Google, η Microsoft και το Facebook", λέει ο Bambenek.

Τελικά, οι χειριστές ιστοτόπων χρειάζονται έναν τρόπο να διακρίνουν τη διαφορά μεταξύ ενός πραγματικού χρήστη και ενός συνθετικού, ή ενός bot, σημειώνει. Αλλά συχνά όσο πιο αποτελεσματικά γίνονται τα εργαλεία για τον εντοπισμό ρομπότ, τόσο πιο δύσκολο γίνεται για τους χρήστες να αποκωδικοποιήσουν, προσθέτει ο Bambenek.

Ο Charles Conley, ανώτερος ερευνητής ασφάλειας στον κυβερνοχώρο στο nVisium, λέει ότι η χρήση πλαστογράφησης περιεχομένου του είδους που παρατήρησε η Sucuri για την παροχή ενός RAT δεν είναι ιδιαίτερα νέα. Οι εγκληματίες του κυβερνοχώρου παραπλανούν συχνά εφαρμογές και υπηρεσίες που σχετίζονται με επιχειρήσεις από εταιρείες όπως η Microsoft, η Zoom και η DocuSign για να παραδίδουν κακόβουλο λογισμικό και να εξαπατούν τους χρήστες να εκτελούν κάθε είδους μη ασφαλές λογισμικό και ενέργειες.

Ωστόσο, με τις επιθέσεις πλαστογράφησης που βασίζονται σε πρόγραμμα περιήγησης, οι προεπιλεγμένες ρυθμίσεις σε προγράμματα περιήγησης όπως το Chrome που αποκρύπτουν την πλήρη διεύθυνση URL ή λειτουργικά συστήματα όπως τα Windows που αποκρύπτουν τις επεκτάσεις αρχείων μπορεί να δυσκολέψουν ακόμη και τα άτομα με διάκριση να καταλάβουν τι κατεβάζουν και από πού προέρχεται. λέει ο Conley.