Fałszywe alerty ochrony DDoS rozpowszechniają niebezpieczne RAT

Zagrożenia podszywają się pod bot-testy Cloudflare DDoS, próbując umieścić trojana zdalnego dostępu (RAT) na systemach należących do osób odwiedzających niektóre wcześniej zaatakowane witryny WordPress.

Naukowcy z Sucuri niedawno zauważyli nowy wektor ataku podczas badania wzrost liczby ataków wstrzykiwania JavaScript wymierzonych w WordPress witryny. Zaobserwowali, że atakujący wstrzyknęli skrypt do witryn WordPress, który wywołał fałszywy komunikat podający się za witrynę weryfikującą, czy odwiedzający witrynę jest człowiekiem, czy też botem DDoS.

Wiele zapór aplikacji sieci Web (WAF) i usług sieciowych dystrybucji zawartości rutynowo wysyła takie alerty w ramach swojej usługi ochrony przed atakami DDoS. Sucuri zaobserwował, że ten nowy JavaScript w witrynach WordPress uruchamia fałszywe wyskakujące okienko ochrony Cloudflare DDoS.

Użytkownicy, którzy kliknęli fałszywy monit o dostęp do witryny, otrzymali złośliwy plik .iso pobrany na ich systemy. Następnie otrzymali nową wiadomość z prośbą o otwarcie pliku, aby otrzymać kod weryfikacyjny umożliwiający dostęp do witryny. „Ponieważ tego typu kontrole przeglądarki są tak powszechne w sieci, wielu użytkowników nie zastanowiłoby się dwa razy przed kliknięciem tego monitu, aby uzyskać dostęp do witryny, którą próbują odwiedzić”, napisał Sucuri. „Większość użytkowników nie zdaje sobie sprawy, że ten plik jest w rzeczywistości trojanem zdalnego dostępu, obecnie oflagowanym przez 13 dostawców zabezpieczeń w momencie pisania tego postu”.

Niebezpieczny SZCZUR

Sucuri zidentyfikował trojana zdalnego dostępu jako NetSupport RAT, złośliwe narzędzie, którego aktorzy ransomware używali wcześniej do śledzenia systemów przed dostarczeniem na nie oprogramowania ransomware. RAT został również wykorzystany do zrzucenia Racoon Stealer, znanego złodzieja informacji, który na krótko zniknął z pola widzenia na początku tego roku. powracają do krajobrazu zagrożeń w czerwcu. Racoon Stealer pojawił się w 2019 r. i był jednym z najbardziej płodnych złodziei informacji w 2021 r. Podmioty zajmujące się zagrożeniami rozpowszechniały go na różne sposoby, w tym modele złośliwego oprogramowania jako usługi i umieszczając je na stronach internetowych sprzedających pirackie oprogramowanie. Dzięki fałszywym monitom ochrony Cloudflare DDoS cyberprzestępcy mają teraz nowy sposób dystrybucji złośliwego oprogramowania.

„Aktorzy zagrożeń, szczególnie podczas phishingu, będą używać wszystkiego, co wydaje się uzasadnione, aby oszukać użytkowników” — mówi John Bambenek, główny łowca zagrożeń w Netenrich. Ponieważ ludzie przyzwyczajają się do mechanizmów takich jak Captcha do wykrywania i blokowania botów, sensowne jest, aby cyberprzestępcy używali tych samych mechanizmów w celu oszukania użytkowników, mówi. „Można to wykorzystać nie tylko do nakłonienia ludzi do zainstalowania złośliwego oprogramowania, ale może być również wykorzystane do „sprawdzania poświadczeń” w celu kradzieży poświadczeń głównych usług w chmurze (takich jak Google, Microsoft i Facebook) – mówi Bambenek.

Zauważa, że ​​operatorzy stron internetowych potrzebują sposobu na odróżnienie rzeczywistego użytkownika od syntetycznego lub bota. Ale często im skuteczniejsze są narzędzia do wykrywania botów, tym trudniej jest je rozszyfrować, dodaje Bambenek.

Charles Conley, starszy badacz ds. cyberbezpieczeństwa w nVisium, mówi, że używanie spoofingu treści w rodzaju, który Sucuri zaobserwował w celu dostarczenia RAT, nie jest niczym nowym. Cyberprzestępcy rutynowo podszywali się pod aplikacje i usługi biznesowe firm takich jak Microsoft, Zoom i DocuSign, aby dostarczać złośliwe oprogramowanie i nakłaniać użytkowników do wykonywania wszelkiego rodzaju niebezpiecznego oprogramowania i działań.

Jednak w przypadku ataków polegających na podszywaniu się w przeglądarce domyślne ustawienia przeglądarek, takich jak Chrome, które ukrywają pełny adres URL lub systemy operacyjne, takie jak Windows, które ukrywają rozszerzenia plików, mogą utrudnić nawet wymagającym osobom stwierdzenie, co pobierają i skąd pochodzą, – mówi Conley.