Les auteurs de la menace usurpent les contrôles des robots DDoS de Cloudflare pour tenter de déposer un cheval de Troie d'accès à distance (RAT) sur les systèmes appartenant aux visiteurs de certains sites Web WordPress précédemment compromis.
Des chercheurs de Sucuri ont récemment repéré le nouveau vecteur d'attaque alors qu'ils enquêtaient sur un recrudescence des attaques par injection JavaScript ciblant WordPress des sites. Ils ont observé que les attaquants injectaient un script dans les sites Web WordPress qui déclenchait une fausse invite prétendant être le site Web vérifiant si un visiteur du site était un humain ou un robot DDoS.
De nombreux pare-feu d'applications Web (WAF) et services de réseau de distribution de contenu diffusent régulièrement de telles alertes dans le cadre de leur service de protection DDoS. Sucuri a observé ce nouveau JavaScript sur les sites WordPress déclenchant une fausse fenêtre contextuelle de protection DDoS Cloudflare.
Les utilisateurs qui ont cliqué sur la fausse invite pour accéder au site Web se sont retrouvés avec un fichier .iso malveillant téléchargé sur leurs systèmes. Ils ont ensuite reçu un nouveau message leur demandant d'ouvrir le fichier afin de recevoir un code de vérification pour accéder au site Internet. "Étant donné que ces types de vérifications de navigateur sont si courants sur le Web, de nombreux utilisateurs n'y réfléchiraient pas à deux fois avant de cliquer sur cette invite pour accéder au site Web qu'ils tentent de visiter", a écrit Sucuri. "Ce que la plupart des utilisateurs ne réalisent pas, c'est que ce fichier est en fait un cheval de Troie d'accès à distance, actuellement signalé par 13 fournisseurs de sécurité au moment de la rédaction de cet article."
RAT dangereux
Sucuri a identifié le cheval de Troie d'accès à distance comme étant NetSupport RAT, un outil malveillant que les auteurs de ransomwares ont déjà utilisé pour empreinter les systèmes avant d'y introduire un ransomware. Le RAT a également été utilisé pour larguer Racoon Stealer, un voleur d'informations bien connu qui a brièvement disparu plus tôt cette année avant réapparition dans le paysage des menaces en juin. Racoon Stealer a fait surface en 2019 et a été l'un des voleurs d'informations les plus prolifiques de 2021. Les acteurs malveillants l'ont distribué de diverses manières, notamment en utilisant des modèles de malware en tant que service et en l'implantant sur des sites Web vendant des logiciels piratés. Avec les fausses invites de protection Cloudflare DDoS, les acteurs malveillants disposent désormais d'un nouveau moyen de distribuer les logiciels malveillants.
« Les auteurs de menaces, notamment en cas de phishing, utilisent tout ce qui semble légitime pour tromper les utilisateurs », explique John Bambenek, principal chasseur de menaces chez Netenrich. À mesure que les gens s'habituent à des mécanismes tels que Captcha pour détecter et bloquer les robots, il est logique que les auteurs de menaces utilisent ces mêmes mécanismes pour tenter de tromper les utilisateurs, dit-il. « Cela peut non seulement être utilisé pour inciter les gens à installer des logiciels malveillants, mais aussi pour des « vérifications d'informations d'identification » afin de voler les informations d'identification des principaux services cloud (tels que) Google, Microsoft et Facebook », explique Bambenek.
En fin de compte, les opérateurs de sites Web ont besoin d’un moyen de faire la différence entre un utilisateur réel et un utilisateur synthétique, ou un robot, note-t-il. Mais souvent, plus les outils de détection des robots sont efficaces, plus ils sont difficiles à décoder pour les utilisateurs, ajoute Bambenek.
Charles Conley, chercheur principal en cybersécurité chez nVisium, affirme que le recours à l'usurpation de contenu du type observé par Sucuri pour fournir un RAT n'est pas particulièrement nouveau. Les cybercriminels ont régulièrement usurpé des applications et des services professionnels d'entreprises telles que Microsoft, Zoom et DocuSign pour diffuser des logiciels malveillants et inciter les utilisateurs à exécuter toutes sortes de logiciels et d'actions dangereux.
Cependant, avec les attaques d'usurpation d'identité basées sur les navigateurs, les paramètres par défaut des navigateurs tels que Chrome qui masquent l'URL complète ou des systèmes d'exploitation comme Windows qui masquent les extensions de fichiers peuvent rendre plus difficile, même pour les individus les plus exigeants, de savoir ce qu'ils téléchargent et d'où cela vient. dit Conley.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
