Ohutegijad võltsivad Cloudflare'i DDoS-i robotite kontrolle, püüdes tõrjuda kaugjuurdepääsuga trooja (RAT) mõne varem ohustatud WordPressi veebisaidi külastajate süsteemidesse.
Sucuri teadlased märkasid hiljuti uut rünnakuvektorit, uurides a WordPressi sihtivate JavaScripti süstimisrünnakute järsk tõus saidid. Nad jälgisid, kuidas ründajad sisestasid WordPressi veebisaitidele skripti, mis käivitas võltsitud viipa, mis väitis, et see veebisait kontrollib, kas saidi külastaja on inimene või DDoS-i robot.
Paljud veebirakenduste tulemüürid (WAF-id) ja sisu levitamise võrguteenused edastavad selliseid hoiatusi regulaarselt oma DDoS-i kaitseteenuse osana. Sucuri täheldas seda uut JavaScripti WordPressi saitidel, mis käivitas võltsitud Cloudflare DDoS-kaitse hüpikakna.
Kasutajad, kes klõpsasid veebisaidile juurdepääsuks võltsitud viipa, said nende süsteemidesse alla laaditud pahatahtliku iso-faili. Seejärel said nad uue sõnumi, milles paluti fail avada, et nad saaksid veebisaidile juurdepääsu kinnituskoodi. "Kuna seda tüüpi brauserikontrollid on veebis nii tavalised, ei mõtleks paljud kasutajad kaks korda enne, kui klõpsavad sellel viibal, et pääseda juurde veebisaidile, mida nad proovivad külastada," kirjutas Sucuri. "Enamik kasutajaid ei saa aru, et see fail on tegelikult kaugjuurdepääsuga troojalane, mida selle postituse ajal märgistavad 13 turbemüüjat."
Ohtlik ROT
Sucuri tuvastas, et kaugjuurdepääsuga troojalane on NetSupport RAT, pahavara tööriist, mida lunavarategijad on varem kasutanud süsteemide jälgede jälgimiseks, enne kui lunavara neile edastas. RAT-i on kasutatud ka Racoon Stealeri – tuntud teabevarastaja – maha laskmiseks, mis selle aasta alguses korraks silmist kadus. tõusmas tagasi ohumaastikule juunis. Racoon Stealer ilmus 2019. aastal ja oli 2021. aasta üks viljakamaid teabevarastajaid. Ohutegijad on seda levitanud mitmel erineval viisil, sealhulgas pahavara kui teenuse mudelite abil ja paigutanud selle piraattarkvara müüvatele veebisaitidele. Cloudflare'i võltsitud DDoS-i kaitseviipade abil on ohus osalejatel nüüd uus viis pahavara levitamiseks.
"Ohutegijad, eriti andmepüügi korral, kasutavad kasutajate petmiseks kõike, mis näib olevat õigustatud," ütleb Netenrichi peamine ohukütt John Bambenek. Ta ütleb, et kuna inimesed harjuvad selliste mehhanismidega nagu Captcha robotite tuvastamiseks ja blokeerimiseks, on ohus osalejatel mõistlik kasutada samu mehhanisme kasutajate petmiseks. "Seda ei saa kasutada mitte ainult selleks, et panna inimesi pahavara installima, vaid ka mandaatide kontrollimiseks, et varastada suuremate pilveteenuste (nt Google'i, Microsofti ja Facebooki) mandaate," ütleb Bambenek.
Lõppkokkuvõttes vajavad veebisaitide operaatorid viisi, kuidas teha vahet tegeliku kasutaja ja sünteetilise kasutaja või roboti vahel, märgib ta. Kuid sageli, mida tõhusamaks muutuvad robotite tuvastamise tööriistad, seda raskem on kasutajatel neid dekodeerida, lisab Bambenek.
nVisiumi küberturvalisuse vanemteadur Charles Conley ütleb, et sisu võltsimine, mida Sucuri täheldas RAT-i edastamiseks, ei ole eriti uus. Küberkurjategijad on rutiinselt võltsinud selliste ettevõtete nagu Microsoft, Zoom ja DocuSign äriga seotud rakendusi ja teenuseid, et tarnida pahavara ja meelitada kasutajaid tegema igasugust ebaturvalist tarkvara ja toiminguid.
Kuid brauseripõhiste võltsimisrünnakute korral võivad brauserite (nt Chrome) vaikeseaded, mis varjavad täielikku URL-i, või operatsioonisüsteemid (nt Windows), mis varjavad faililaiendeid, raskendada isegi tähelepanelikumatel inimestel aru saada, mida nad alla laadivad ja kust see pärineb. Conley ütleb.
