Gli attori delle minacce stanno falsificando i controlli DDoS di Cloudflare nel tentativo di rilasciare un Trojan ad accesso remoto (RAT) sui sistemi appartenenti ai visitatori di alcuni siti Web WordPress precedentemente compromessi.
I ricercatori di Sucuri hanno recentemente individuato il nuovo vettore di attacco mentre indagavano su a aumento degli attacchi di iniezione di JavaScript rivolti a WordPress siti. Hanno osservato gli aggressori che hanno iniettato uno script nei siti Web di WordPress che ha attivato un falso messaggio che affermava di essere il sito Web che verifica se un visitatore del sito è umano o un bot DDoS.
Molti WAF (Web Application Firewall) e servizi di rete di distribuzione dei contenuti inviano regolarmente tali avvisi come parte del loro servizio di protezione dagli attacchi DDoS. Sucuri ha osservato questo nuovo JavaScript sui siti WordPress attivando un falso pop-up di protezione DDoS di Cloudflare.
Gli utenti che hanno fatto clic sulla falsa richiesta di accedere al sito Web si sono ritrovati con un file .iso dannoso scaricato sui loro sistemi. Hanno quindi ricevuto un nuovo messaggio che chiede loro di aprire il file in modo che possano ricevere un codice di verifica per l'accesso al sito web. "Dato che questi tipi di controlli del browser sono così comuni sul Web, molti utenti non ci penseranno due volte prima di fare clic su questo prompt per accedere al sito Web che stanno cercando di visitare", ha scritto Sucuri. "Quello che la maggior parte degli utenti non si rende conto è che questo file è in realtà un trojan di accesso remoto, attualmente segnalato da 13 fornitori di sicurezza al momento di questo post."
RATTO Pericoloso
Sucuri ha identificato il trojan ad accesso remoto come NetSupport RAT, uno strumento malware che gli attori di ransomware hanno utilizzato in precedenza per tracciare il footprint dei sistemi prima di inviare ransomware su di essi. Il RAT è stato utilizzato anche per rilasciare Racoon Stealer, un noto ladro di informazioni che è stato brevemente scomparso all'inizio di quest'anno prima tornando indietro nel panorama delle minacce nel mese di giugno. Racoon Stealer è emerso nel 2019 ed è stato uno dei più prolifici ladri di informazioni del 2021. Gli attori delle minacce lo hanno distribuito in vari modi, inclusi modelli di malware-as-a-service e inserendolo su siti Web che vendono software piratato. Con le false richieste di protezione DDoS di Cloudflare, gli attori delle minacce ora hanno un nuovo modo di distribuire il malware.
"Gli attori delle minacce, in particolare durante il phishing, utilizzeranno tutto ciò che sembra legittimo per ingannare gli utenti", afferma John Bambenek, principale cacciatore di minacce di Netenrich. Man mano che le persone si abituano a meccanismi come Captcha per rilevare e bloccare i bot, ha senso che gli attori delle minacce utilizzino quegli stessi meccanismi per cercare di ingannare gli utenti, dice. "Questo non solo può essere utilizzato per indurre le persone a installare malware, ma potrebbe essere utilizzato per 'controlli delle credenziali' per rubare le credenziali dei principali servizi cloud (come) Google, Microsoft e Facebook", afferma Bambenek.
In definitiva, gli operatori di siti Web hanno bisogno di un modo per distinguere tra un utente reale e uno sintetico, o un bot, osserva. Ma spesso più efficaci diventano gli strumenti per rilevare i bot, più difficile diventa la decodifica per gli utenti, aggiunge Bambenek.
Charles Conley, ricercatore senior sulla sicurezza informatica presso nVisium, afferma che l'utilizzo di spoofing dei contenuti del tipo osservato da Sucuri per fornire un RAT non è particolarmente nuovo. I criminali informatici hanno regolarmente falsificato app e servizi aziendali di aziende come Microsoft, Zoom e DocuSign per fornire malware e indurre gli utenti a eseguire tutti i tipi di software e azioni non sicuri.
Tuttavia, con gli attacchi di spoofing basati su browser, le impostazioni predefinite su browser come Chrome che nascondono l'URL completo o sistemi operativi come Windows che nascondono le estensioni di file possono rendere più difficile anche per le persone più esigenti dire cosa stanno scaricando e da dove proviene, dice Conley.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
