Trusselaktører forfalsker Cloudflare DDoS-bot-sjekker i et forsøk på å slippe en fjerntilgangstrojaner (RAT) på systemer som tilhører besøkende på noen tidligere kompromitterte WordPress-nettsteder.
Forskere fra Sucuri oppdaget nylig den nye angrepsvektoren mens de undersøkte en økning i JavaScript-injeksjonsangrep rettet mot WordPress nettsteder. De observerte at angriperne injiserte et skript på WordPress-nettstedene som utløste en falsk melding som hevdet å være nettstedet som bekrefter om en besøkende på nettstedet er et menneske eller en DDoS-bot.
Mange nettapplikasjonsbrannmurer (WAF-er) og innholdsdistribusjonsnettverkstjenester gir rutinemessig slike varsler som en del av deres DDoS-beskyttelsestjeneste. Sucuri observerte dette nye JavaScript på WordPress-nettsteder som utløste en falsk Cloudflare DDoS-beskyttelsespop-up.
Brukere som klikket på den falske forespørselen for å få tilgang til nettstedet, endte opp med en ondsinnet .iso-fil lastet ned til systemene deres. De fikk deretter en ny melding som ba dem åpne filen slik at de kan motta en bekreftelseskode for å få tilgang til nettstedet. "Siden disse typer nettlesersjekker er så vanlige på nettet, ville mange brukere ikke tenke seg om to ganger før de klikker på denne forespørselen for å få tilgang til nettstedet de prøver å besøke," skrev Sucuri. "Det de fleste brukere ikke er klar over er at denne filen faktisk er en fjerntilgangstrojaner, for øyeblikket flagget av 13 sikkerhetsleverandører på tidspunktet for dette innlegget."
Farlig RATTE
Sucuri identifiserte fjerntilgangstrojaneren som NetSupport RAT, et skadelig programvareverktøy som ransomware-aktører tidligere har brukt til footprint-systemer før de leverte løsepengevare på dem. RAT har også blitt brukt til å droppe Racoon Stealer, en velkjent informasjonstyver som en kort stund falt ut av syne tidligere i år før bølger tilbake på trussellandskapet i juni. Racoon Stealer dukket opp i 2019 og var en av de mest produktive informasjonstelerne i 2021. Trusselaktører har distribuert den på en rekke måter, inkludert malware-as-a-service-modeller og ved å plante den på nettsteder som selger piratkopiert programvare. Med de falske Cloudflare DDoS-beskyttelsesmeldingene, har trusselaktører nå en ny måte å distribuere skadelig programvare på.
"Trusselsaktører, spesielt når de driver med nettfisking, vil bruke alt som ser legitimt ut for å lure brukere," sier John Bambenek, hovedtrusseljeger hos Netenrich. Ettersom folk blir vant til mekanismer som Captchas for å oppdage og blokkere roboter, er det fornuftig for trusselaktører å bruke de samme mekanismene for å prøve å lure brukere, sier han. "Dette kan ikke bare brukes til å få folk til å installere skadelig programvare, men kan også brukes til "legitimasjonssjekker" for å stjele legitimasjon til store skytjenester (som) Google, Microsoft og Facebook, sier Bambenek.
Til syvende og sist trenger nettstedoperatører en måte å se forskjellen mellom en ekte bruker og en syntetisk, eller en bot, bemerker han. Men ofte jo mer effektive verktøyene for å oppdage roboter blir, jo vanskeligere blir de for brukerne å dekode, legger Bambenek til.
Charles Conley, senior cybersikkerhetsforsker ved nVisium, sier at det ikke er spesielt nytt å bruke innholdsforfalskning av den typen Sucuri observerte for å levere en RAT. Nettkriminelle har rutinemessig forfalsket forretningsrelaterte apper og tjenester fra selskaper som Microsoft, Zoom og DocuSign for å levere skadevare og lure brukere til å utføre all slags usikker programvare og handlinger.
Men med nettleserbaserte spoofing-angrep kan standardinnstillinger på nettlesere som Chrome som skjuler hele URL-en eller operativsystemer som Windows som skjuler filutvidelser gjøre det vanskeligere for selv kresne individer å fortelle hva de laster ned og hvor det er fra, sier Conley.
