Les opérateurs de phishing utilisent les sites Web abandonnés comme appâts

Selon une nouvelle étude de Kaspersky, les attaquants ciblent de plus en plus les sites Web abandonnés et à peine entretenus pour héberger des pages de phishing.

Dans de nombreux cas, les hameçonneurs se concentrent sur les sites WordPress en raison du grand nombre de vulnérabilités connues dans le système de gestion de contenu largement utilisé et ses nombreux plug-ins.

Grand nombre de sites Web compromis

Les chercheurs de Kaspersky ont récemment dénombré 22,400 15 sites Web WordPress uniques que les acteurs de la menace avaient compromis entre la mi-mai 200,213 et la fin juillet pour héberger des pages de phishing. Le nombre comprenait des sites Web dans lesquels les attaquants pouvaient littéralement entrer car ils fournissaient un accès ouvert au panneau de contrôle, ainsi que des sites dans lesquels les attaquants devaient s'introduire via des exploits de vulnérabilité, le vol d'informations d'identification et d'autres moyens. Kaspersky a détecté XNUMX XNUMX tentatives d'utilisateurs de visiter des pages de phishing hébergées par des acteurs malveillants sur ces sites Web.

"Les sites Web longtemps négligés et activement entretenus peuvent être ciblés de cette façon", a déclaré Kaspersky dans un rapport cette semaine. "En particulier, les pirates ont tendance à compromettre les petits sites Web dont les propriétaires ne peuvent pas reconnaître immédiatement leur présence."

L'hameçonnage continue d'être l'un des vecteurs d'accès initiaux les plus populaires pour les attaquants en raison de leur succès. La clé de ce succès est leur capacité à créer des sites Web et des pages convaincants auxquels les utilisateurs sont susceptibles de faire suffisamment confiance pour partager leurs informations d'identification et d'autres informations sensibles.

Les chercheurs de Kaspersky ont découvert que pour améliorer l'escroquerie, les opérateurs de phishing laissent parfois intacte la fonctionnalité principale d'un site Web compromis même lorsqu'ils publient des pages de phishing sur le site. "Un visiteur ne devinerait jamais que le site a été piraté : chaque section est là où elle est censée se trouver, et seules les informations pertinentes peuvent être vues", a déclaré Kaspersky. Au lieu de cela, les attaquants cachent leurs pages de phishing dans de nouveaux répertoires qui ne sont pas accessibles dans le menu du site Web, a déclaré le fournisseur de sécurité.

Des choix faciles

Les domaines longtemps négligés sont également attrayants pour les attaquants, car les pages de phishing peuvent également rester actives sur eux pendant une longue période. Cela peut être particulièrement important pour les attaquants étant donné le cycle de vie relativement court des pages de phishing en général. En décembre 2021, Kaspersky a publié un rapport résumant ses analyse du cycle de vie des pages de phishing. L'étude a montré que 33 % des pages de phishing sont devenues inactives dans la journée suivant leur mise en ligne. Sur les 5,307 1,784 pages de phishing analysées par les chercheurs de Kaspersky pour l'étude, 94 XNUMX ont cessé de fonctionner après le premier jour, et beaucoup sont devenues inactives au cours des premières heures seulement. La moitié de toutes les pages de l'étude ont cessé d'exister après XNUMX heures.

Pour les cybercriminels, la tâche de s'introduire dans des sites Web abandonnés et à peine entretenus est souvent simple en raison de la failles de sécurité qui existent dans l'environnement. L'an dernier seulement, les chercheurs et les fournisseurs révélé un total de 2,370 XNUMX vulnérabilités dans WordPress et plugins. Les plus courants d'entre eux incluent les scripts intersites, le contournement d'autorisation, l'injection SQL et la divulgation d'informations.

Kaspersky a constaté que généralement, lorsqu'un attaquant s'introduit dans un site WordPress via une vulnérabilité, il télécharge un shell Web WSO, qui est un script shell malveillant qui permet aux attaquants de contrôler à distance le site Web. Les attaquants utilisent ensuite le shell Web pour pénétrer dans le panneau d'administration du site Web compromis et commencer à y mettre de fausses pages. Ils utilisent également le panneau de contrôle pour stocker les informations d'identification, les données de carte bancaire et d'autres informations sensibles qu'un utilisateur pourrait être amené à entrer sur le site Web. Lorsqu'un attaquant laisse l'accès au panneau de contrôle ouvert, n'importe qui sur Internet peut alors accéder aux données, a déclaré Kaspersky.

"Des cybercriminels chevronnés piratent des sites Web légitimes pour mettre en place des pièges de phishing", a déclaré Kaspersky. "Les sites Web longtemps négligés et activement entretenus peuvent être ciblés de cette façon", en particulier lorsque les sites Web sont petits et que les opérateurs sont mal équipés pour détecter les activités malveillantes.

Le blog de Kaspersky offrait des conseils sur la façon dont les opérateurs de sites Web WordPress peuvent détecter si un attaquant a piraté leur site Web et l'utilise pour héberger des pages de phishing.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait