Bedreigingsactoren vervalsen Cloudflare DDoS-botcontroles in een poging een Trojan voor externe toegang (RAT) te plaatsen op systemen van bezoekers van een aantal eerder gecompromitteerde WordPress-websites.
Onderzoekers van Sucuri hebben onlangs de nieuwe aanvalsvector opgemerkt tijdens het onderzoeken van een toename van JavaScript-injectieaanvallen gericht op WordPress sites. Ze zagen dat de aanvallers een script in de WordPress-websites injecteerden, waardoor een nep-prompt werd geactiveerd waarin werd beweerd dat het de website was die verifieerde of een sitebezoeker een mens of een DDoS-bot was.
Veel webapplicatiefirewalls (WAF's) en netwerkdiensten voor inhouddistributie geven routinematig dergelijke waarschuwingen weer als onderdeel van hun DDoS-beveiligingsservice. Sucuri observeerde dit nieuwe JavaScript op WordPress-sites, waardoor een nep-Cloudflare DDoS-beschermingspop-up werd geactiveerd.
Gebruikers die op de valse prompt klikten om toegang te krijgen tot de website, kregen uiteindelijk een kwaadaardig .iso-bestand gedownload op hun systemen. Vervolgens ontvingen ze een nieuw bericht waarin ze werden gevraagd het bestand te openen, zodat ze een verificatiecode konden ontvangen voor toegang tot de website. "Omdat dit soort browsercontroles zo gebruikelijk zijn op internet, zouden veel gebruikers niet twee keer nadenken voordat ze op deze prompt klikken om toegang te krijgen tot de website die ze proberen te bezoeken", schreef Sucuri. “Wat de meeste gebruikers zich niet realiseren is dat dit bestand in feite een trojan voor externe toegang is, die momenteel door 13 beveiligingsleveranciers wordt gemarkeerd op het moment dat dit bericht wordt gepubliceerd.”
Gevaarlijke RAT
Sucuri identificeerde de op afstand toegankelijke Trojan als NetSupport RAT, een malwaretool die ransomware-actoren eerder hebben gebruikt om systemen te footprinten voordat ze er ransomware op afleverden. De RAT is ook gebruikt om Racoon Stealer te droppen, een bekende informatiedief die eerder dit jaar even uit het zicht verdween terug in het dreigingslandschap in juni. Racoon Stealer dook in 2019 op en was een van de meest productieve informatiestelers van 2021. Bedreigingsactoren hebben het op verschillende manieren verspreid, waaronder malware-as-a-service-modellen en door het op websites te plaatsen die illegale software verkopen. Met de valse Cloudflare DDoS-beschermingsprompts hebben bedreigingsactoren nu een nieuwe manier om de malware te verspreiden.
“Bedreigingsactoren, vooral bij phishing, zullen alles gebruiken wat legitiem lijkt om gebruikers voor de gek te houden”, zegt John Bambenek, hoofddreigingsjager bij Netenrich. Naarmate mensen gewend raken aan mechanismen zoals Captcha voor het detecteren en blokkeren van bots, wordt het logisch dat bedreigingsactoren dezelfde mechanismen gebruiken om gebruikers voor de gek te houden, zegt hij. “Dit kan niet alleen worden gebruikt om mensen malware te laten installeren, maar kan ook worden gebruikt voor ‘referentiecontroles’ om inloggegevens van grote clouddiensten (zoals) Google, Microsoft en Facebook te stelen”, zegt Bambenek.
Uiteindelijk hebben website-exploitanten een manier nodig om het verschil te zien tussen een echte gebruiker en een synthetische gebruiker, of een bot, merkt hij op. Maar hoe effectiever de tools voor het detecteren van bots worden, hoe moeilijker het voor gebruikers wordt om ze te decoderen, voegt Bambenek toe.
Charles Conley, senior cybersecurity-onderzoeker bij nVisium, zegt dat het gebruik van content-spoofing, zoals Sucuri observeerde om een RAT op te leveren, niet bijzonder nieuw is. Cybercriminelen hebben routinematig bedrijfsgerelateerde apps en diensten van bedrijven als Microsoft, Zoom en DocuSign vervalst om malware te leveren en gebruikers te misleiden tot het uitvoeren van allerlei onveilige software en acties.
Met browsergebaseerde spoofing-aanvallen kunnen standaardinstellingen in browsers zoals Chrome die de volledige URL verbergen of besturingssystemen zoals Windows die bestandsextensies verbergen het zelfs voor kritische personen moeilijker maken om te vertellen wat ze downloaden en waar het vandaan komt. zegt Conley.
