攻撃者は、以前に侵害された WordPress Web サイトへの訪問者に属するシステムにリモート アクセス トロイの木馬 (RAT) をドロップしようとして、Cloudflare DDoS ボット チェックをスプーフィングしています。
Sucuri の研究者は最近、調査中に新しい攻撃ベクトルを発見しました。 WordPress を狙った JavaScript インジェクション攻撃の急増 サイト。 彼らは、攻撃者が WordPress Web サイトにスクリプトを挿入し、サイト訪問者が人間なのか DDoS ボットなのかを確認する Web サイトであると主張する偽のプロンプトをトリガーしたことを観察しました。
多くの Web アプリケーション ファイアウォール (WAF) とコンテンツ配信ネットワーク サービスは、DDoS 保護サービスの一部として、定期的にこのようなアラートを提供しています。 Sucuri は、WordPress サイトでこの新しい JavaScript が偽の Cloudflare DDoS 保護ポップアップをトリガーすることを確認しました。
偽のプロンプトをクリックして Web サイトにアクセスしたユーザーは、システムに悪意のある .iso ファイルをダウンロードすることになりました。 次に、Web サイトにアクセスするための確認コードを受け取ることができるように、ファイルを開くように求める新しいメッセージを受け取りました。 「この種のブラウザ チェックはウェブ上で非常に一般的であるため、多くのユーザーは、アクセスしようとしているウェブサイトにアクセスするために、このプロンプトをクリックする前によく考えます」と Sucuri は書いています。 「ほとんどのユーザーが気付いていないのは、このファイルが実際にはリモート アクセス トロイの木馬であり、この投稿の時点で現在 13 のセキュリティ ベンダーによってフラグが立てられているということです。」
危険なネズミ
Sucuri は、リモート アクセス型トロイの木馬が NetSupport RAT であることを特定しました。これは、ランサムウェア攻撃者がランサムウェアを配信する前にシステムをフットプリントするために以前に使用したマルウェア ツールです。 RAT は、有名な情報窃盗プログラムである Racoon Stealer をドロップするためにも使用されています。 脅威の状況に逆戻り 六月に。 Racoon Stealer は 2019 年に出現し、2021 年に最も多発した情報窃盗プログラムの XNUMX つです。攻撃者は、サービスとしてのマルウェア モデルや、海賊版ソフトウェアを販売する Web サイトに植え付けるなど、さまざまな方法で配布しています。 偽の Cloudflare DDoS 保護プロンプトにより、攻撃者はマルウェアを配布する新しい方法を手に入れました。
「脅威アクターは、特にフィッシングの場合、正当に見えるものなら何でも使用してユーザーを騙します」と、Netenrich の主任脅威ハンターである John Bambanek は述べています。 ボットを検出してブロックするための Captcha のようなメカニズムに人々が慣れるにつれて、攻撃者が同じメカニズムを使用してユーザーをだまそうとするのは理にかなっている、と彼は言います。 「これは、人々にマルウェアをインストールさせるために使用されるだけでなく、主要なクラウド サービス (Google、Microsoft、Facebook など) の資格情報を盗むための『資格情報チェック』にも使用される可能性があります」と Bambenek 氏は言います。
最終的に、Web サイトの運営者は、実際のユーザーと合成ユーザー、つまりボットを区別する方法を必要としている、と彼は述べています。 しかし、多くの場合、ボットを検出するツールが効果的になればなるほど、ユーザーが解読するのが難しくなる、とバンベネクは付け加えます。
nVisium のシニア サイバー セキュリティ研究者である Charles Conley 氏は、RAT を配信するために Sucuri が観察した種類のコンテンツ スプーフィングを使用することは特に新しいことではないと述べています。 サイバー犯罪者は、Microsoft、Zoom、DocuSign などの企業のビジネス関連のアプリやサービスを日常的に偽装して、マルウェアを配信し、ユーザーをだましてあらゆる種類の安全でないソフトウェアやアクションを実行させてきました。
ただし、ブラウザーベースのスプーフィング攻撃では、完全な URL を非表示にする Chrome などのブラウザーや、ファイル拡張子を非表示にする Windows などのオペレーティング システムのデフォルト設定により、目の肥えた個人でさえ、何をダウンロードしているのか、どこからダウンロードしたのかを知ることが難しくなる可能性があります。コンリーは言う。
