שחקני איומים מזייפים בדיקות בוט של Cloudflare DDoS בניסיון להפיל טרויאני עם גישה מרחוק (RAT) על מערכות השייכות למבקרים בכמה אתרי וורדפרס שנפגעו בעבר.
חוקרים מ-Sucuri הבחינו לאחרונה בווקטור ההתקפה החדש תוך כדי חקירת א עלייה בהתקפות הזרקת JavaScript המכוונות לוורדפרס אתרים. הם צפו בתוקפים מחדירים סקריפט לאתרי וורדפרס שהפעיל הנחיה מזויפת הטוענת שהוא האתר המאמת אם המבקר באתר הוא אנושי או בוט DDoS.
חומות אש רבות של יישומי אינטרנט (WAFs) ושירותי רשת הפצת תוכן משרתים באופן שגרתי התראות כאלה כחלק משירות הגנת ה-DDoS שלהם. Sucuri הבחין ב-JavaScript החדש הזה באתרי וורדפרס שמפעיל חלון קופץ להגנה מזויף של Cloudflare DDoS.
משתמשים שלחצו על ההנחיה המזויפת כדי לגשת לאתר בסופו של דבר הורד קובץ .iso זדוני למערכות שלהם. לאחר מכן הם קיבלו הודעה חדשה המבקשת מהם לפתוח את הקובץ כדי שיוכלו לקבל קוד אימות לגישה לאתר. "מכיוון שסוגים אלה של בדיקות דפדפן נפוצים כל כך ברשת, משתמשים רבים לא יחשבו פעמיים לפני שהם לוחצים על הנחיה זו כדי לגשת לאתר שהם מנסים לבקר", כתב Sucuri. "מה שרוב המשתמשים לא מבינים הוא שהקובץ הזה הוא למעשה טרויאני גישה מרחוק, שסומן כרגע על ידי 13 ספקי אבטחה בזמן פרסום זה."
חולדה מסוכנת
Sucuri זיהה את הטרויאני בעל הגישה מרחוק כ-NetSupport RAT, כלי תוכנות זדוניות ששחקני תוכנות כופר השתמשו בו בעבר למערכות טביעת רגל לפני שהעבירו עליהן תוכנות כופר. ה-RAT שימש גם כדי להפיל את Racoon Stealer, גנב מידע ידוע שנשר לזמן קצר מהעין מוקדם יותר השנה לפני לזנק בחזרה אל נוף האיומים ביוני. Racoon Stealer צץ ב-2019 והיה אחד מגונבי המידע הפוריים ביותר של 2021. שחקני איומים הפיצו אותו במגוון דרכים, כולל מודלים של תוכנות זדוניות כשירות ועל ידי שתילתו באתרי אינטרנט שמוכרים תוכנות פיראטיות. עם הנחיות ההגנה המזויפות של Cloudflare DDoS, לשחקני איומים יש כעת דרך חדשה להפיץ את התוכנה הזדונית.
"שחקני איומים, במיוחד בעת דיוג, ישתמשו בכל דבר שנראה לגיטימי כדי לשטות במשתמשים", אומר ג'ון במבנק, צייד האיומים הראשי ב-Netenrich. ככל שאנשים מתרגלים למנגנונים כמו של Captcha לאיתור וחסימת בוטים, הגיוני ששחקני איומים ישתמשו באותם מנגנונים כדי לנסות לשטות במשתמשים, הוא אומר. "זה לא רק יכול לשמש כדי לגרום לאנשים להתקין תוכנות זדוניות, אלא יכול לשמש ל'בדיקות אישורים' כדי לגנוב אישורים של שירותי ענן גדולים (כגון) גוגל, מיקרוסופט ופייסבוק", אומר במבנק.
בסופו של דבר, מפעילי אתרים צריכים דרך להבחין בין משתמש אמיתי לבין משתמש סינטטי, או בוט, הוא מציין. אבל לעתים קרובות ככל שהכלים לזיהוי בוטים הופכים יעילים יותר, כך הם מתקשים יותר לפענוח המשתמשים, מוסיף Bambenek.
צ'ארלס קונלי, חוקר אבטחת סייבר בכיר ב-nVisium, אומר ששימוש בזיוף תוכן מהסוג ש-Sucuri צפה כדי לספק RAT אינו חדש במיוחד. פושעי סייבר זייפו באופן שגרתי אפליקציות ושירותים הקשורים לעסקים מחברות כמו Microsoft, Zoom ו-DocuSign כדי לספק תוכנות זדוניות ולהערים על משתמשים לבצע כל מיני תוכנות ופעולות לא בטוחות.
עם זאת, עם התקפות זיוף מבוססות דפדפן, הגדרות ברירת המחדל בדפדפנים כמו Chrome שמסתירות את כתובת האתר המלאה או מערכות הפעלה כמו Windows שמסתירות סיומות קבצים יכולות להקשות אפילו על אנשים בעלי אבחנה לדעת מה הם מורידים ומאיפה זה, אומר קונלי.
