Alertele false de protecție DDoS distribuie RAT periculos

Actorii amenințărilor falsifică verificările bot-DDoS Cloudflare în încercarea de a arunca un troian de acces la distanță (RAT) pe sistemele care aparțin vizitatorilor unor site-uri WordPress compromise anterior.

Cercetătorii de la Sucuri au observat recent noul vector de atac în timp ce investigau a creșterea atacurilor prin injectare JavaScript care vizează WordPress site-uri. Ei au observat atacatorii injectând un script în site-urile WordPress care a declanșat o solicitare falsă care pretinde că este site-ul web care verifică dacă un vizitator al site-ului este uman sau un bot DDoS.

Multe firewall-uri pentru aplicații web (WAF) și servicii de rețea de distribuție de conținut oferă în mod obișnuit astfel de alerte ca parte a serviciului lor de protecție DDoS. Sucuri a observat acest nou JavaScript pe site-urile WordPress declanșând un pop-up fals de protecție Cloudflare DDoS.

Utilizatorii care au făcut clic pe solicitarea falsă pentru a accesa site-ul web au ajuns să aibă un fișier .iso rău intenționat descărcat în sistemele lor. Apoi au primit un nou mesaj prin care le cere să deschidă fișierul, astfel încât să poată primi un cod de verificare pentru accesarea site-ului. „Deoarece aceste tipuri de verificări ale browserului sunt atât de comune pe web, mulți utilizatori nu s-ar gândi de două ori înainte de a face clic pe această solicitare pentru a accesa site-ul web pe care încearcă să îl viziteze”, a scris Sucuri. „Ceea ce majoritatea utilizatorilor nu realizează este că acest fișier este de fapt un troian de acces la distanță, semnalat în prezent de 13 furnizori de securitate la momentul acestei postări.”

ȘObolan periculos

Sucuri a identificat troianul de acces la distanță drept NetSupport RAT, un instrument malware pe care actorii ransomware l-au folosit anterior pentru a-și amprenta sistemele înainte de a le livra ransomware. RAT a fost, de asemenea, folosit pentru a arunca Racoon Stealer, un binecunoscut furt de informații care a dispărut pentru scurt timp din vedere la începutul acestui an înainte. revenind pe peisajul amenințărilor în iunie. Racoon Stealer a apărut în 2019 și a fost unul dintre cei mai prolifici furatori de informații din 2021. Actorii amenințărilor l-au distribuit într-o varietate de moduri, inclusiv modele malware-as-a-service și plantându-l pe site-uri web care vând software piratat. Cu solicitările false de protecție Cloudflare DDoS, actorii amenințărilor au acum o nouă modalitate de a distribui malware-ul.

„Actorii de amenințări, în special atunci când phishing, vor folosi orice pare legitim pentru a păcăli utilizatorii”, spune John Bambenek, principalul vânător de amenințări la Netenrich. Pe măsură ce oamenii se obișnuiesc cu mecanisme precum Captcha pentru detectarea și blocarea roboților, este logic ca actorii amenințărilor să folosească aceleași mecanisme pentru a încerca să păcălească utilizatorii, spune el. „Acest lucru nu poate fi folosit numai pentru a-i determina pe oameni să instaleze programe malware, dar ar putea fi folosit pentru „verificări a acreditărilor” pentru a fura acreditările principalelor servicii cloud (cum ar fi) Google, Microsoft și Facebook”, spune Bambenek.

În cele din urmă, operatorii de site-uri web au nevoie de o modalitate de a face diferența dintre un utilizator real și unul sintetic, sau un bot, notează el. Dar, adesea, cu cât instrumentele de detectare a boților devin mai eficiente, cu atât devin mai greu de decodat de către utilizatori, adaugă Bambenek.

Charles Conley, cercetător senior în securitate cibernetică la nVisium, spune că utilizarea falsării conținutului de tipul pe care Sucuri l-a observat pentru a furniza un RAT nu este deosebit de nouă. Criminalii cibernetici au falsificat în mod obișnuit aplicațiile și serviciile legate de afaceri de la companii precum Microsoft, Zoom și DocuSign pentru a furniza malware și a păcăli utilizatorii să execute tot felul de software și acțiuni nesigure.

Cu toate acestea, în cazul atacurilor de falsificare bazate pe browser, setările implicite ale browserelor, cum ar fi Chrome, care ascund adresa URL completă sau sisteme de operare precum Windows, care ascund extensiile de fișiere, pot îngreuna chiar și persoanele cu discernământ să spună ce descarcă și de unde provine, spune Conley.