Väärennetyt DDoS-suojaushälytykset levittävät vaarallista rottia

Uhkatoimijat huijaavat Cloudflaren DDoS-bottitarkistuksia yrittääkseen pudottaa etäkäyttötroijalaisen (RAT) joidenkin aiemmin vaarantuneiden WordPress-sivustojen vierailijoiden järjestelmiin.

Sucurin tutkijat huomasivat äskettäin uuden hyökkäysvektorin tutkiessaan a WordPressiin kohdistettujen JavaScript-injektiohyökkäysten lisääntyminen sivustoja. He havaitsivat, että hyökkääjät lisäsivät WordPress-verkkosivustoihin komentosarjan, joka laukaisi väärennetyn kehotteen, joka väitti olevansa verkkosivusto, joka vahvistaa, onko sivuston vierailija ihminen vai DDoS-botti.

Monet verkkosovellusten palomuurit (WAF) ja sisällönjakeluverkkopalvelut tarjoavat tällaisia ​​hälytyksiä rutiininomaisesti osana DDoS-suojauspalveluaan. Sucuri havaitsi tämän uuden JavaScriptin WordPress-sivustoilla käynnistäen väärennetyn Cloudflare DDoS -suojausponnahdusikkunan.

Käyttäjät, jotka napsautivat väärennettyä kehotetta päästäkseen verkkosivustolle, päätyivät haitalliseen .iso-tiedostoon ladattuihin järjestelmiinsä. Sitten he saivat uuden viestin, jossa heitä pyydettiin avaamaan tiedosto, jotta he voivat saada vahvistuskoodin verkkosivustolle pääsyä varten. "Koska tämäntyyppiset selaimen tarkistukset ovat niin yleisiä verkossa, monet käyttäjät eivät miettisi kahdesti ennen kuin napsauttavat tätä kehotetta päästäkseen verkkosivustolle, jolla he yrittävät käydä", Sucuri kirjoitti. "Useimmat käyttäjät eivät ymmärrä, että tämä tiedosto on itse asiassa etäkäyttötroijalainen, jonka tällä hetkellä 13 tietoturvatoimittajaa on ilmoittanut tämän viestin julkaisemisen aikaan."

Vaarallinen ROT

Sucuri tunnisti etäkäyttötroijalaisen NetSupport RAT:ksi, haittaohjelmatyökaluksi, jota ransomware-toimijat ovat aiemmin käyttäneet järjestelmien jäljittämiseen ennen kiristysohjelmien toimittamista niihin. RATia on käytetty myös pudottamaan Racoon Stealer, tunnettu tietovarastaja, joka putosi hetkeksi näkyvistä aiemmin tänä vuonna ennen. nousemassa takaisin uhkamaisemaan kesäkuussa. Racoon Stealer ilmestyi vuonna 2019, ja se oli yksi vuoden 2021 tuotteliaimmista tiedonvarastajista. Uhkatoimijat ovat levittäneet sitä monin eri tavoin, mukaan lukien haittaohjelmat palveluna -malleina ja sijoittamalla sen piraattiohjelmistoja myyville verkkosivustoille. Väärennettyjen Cloudflare DDoS -suojakehotteiden ansiosta uhkien toimijat voivat nyt levittää haittaohjelmia uudella tavalla.

"Uhkatoimijat, etenkin tietojenkalastelussa, käyttävät kaikkea, mikä näyttää lailliselta, huijatakseen käyttäjiä", sanoo John Bambenek, Netenrichin tärkein uhkien metsästäjä. Kun ihmiset tottuvat Captchan kaltaisiin mekanismeihin robottien havaitsemiseksi ja estämiseksi, on järkevää, että uhkatoimijat käyttävät samoja mekanismeja yrittääkseen huijata käyttäjiä, hän sanoo. "Tätä ei voida käyttää ainoastaan ​​saamaan ihmiset asentamaan haittaohjelmia, vaan sitä voidaan käyttää "tunnistetietojen tarkistukseen" suurten pilvipalvelujen (kuten Googlen, Microsoftin ja Facebookin) tunnistetietojen varastamiseksi", Bambenek sanoo.

Viime kädessä verkkosivustojen ylläpitäjät tarvitsevat tavan erottaa todellisen käyttäjän ja synteettisen käyttäjän tai botin, hän huomauttaa. Mutta usein mitä tehokkaampia työkalut robottien havaitsemiseen ovat, sitä vaikeampi on käyttäjien purkaa niitä, Bambenek lisää.

Charles Conley, vanhempi kyberturvallisuustutkija nVisiumista, sanoo, että Sucurin havaitseman sisällön huijauksen käyttö RAT:n toimittamisessa ei ole erityisen uutta. Kyberrikolliset ovat rutiininomaisesti väärentäneet Microsoftin, Zoomin ja DocuSignin kaltaisten yritysten liiketoimintaan liittyviä sovelluksia ja palveluita tarjotakseen haittaohjelmia ja huijatakseen käyttäjiä suorittamaan kaikenlaisia ​​vaarallisia ohjelmistoja ja toimia.

Selainpohjaisten huijaushyökkäyksiä käytettäessä selainten, kuten Chromen, oletusasetukset, jotka piilottavat koko URL-osoitteen, tai käyttöjärjestelmissä, kuten Windowsissa, jotka piilottavat tiedostopäätteet, voivat vaikeuttaa vaativienkin henkilöiden näkemistä, mitä he lataavat ja mistä se on peräisin. Conley sanoo.