Lažna zaščitna opozorila DDoS distribuirajo nevarno RAT

Akterji groženj ponarejajo botske preglede Cloudflare DDoS, da bi poskušali spustiti trojanca z oddaljenim dostopom (RAT) v sisteme, ki pripadajo obiskovalcem nekaterih predhodno ogroženih spletnih mest WordPress.

Raziskovalci iz Sucurija so nedavno opazili nov vektor napada, medtem ko so raziskovali a porast napadov z vbrizgavanjem JavaScripta, ki ciljajo na WordPress strani. Opazili so, kako so napadalci v spletna mesta WordPress vbrizgali skript, ki je sprožil lažni poziv, ki je trdil, da spletno mesto preverja, ali je obiskovalec spletnega mesta človek ali bot DDoS.

Številni požarni zidovi spletnih aplikacij (WAF) in omrežne storitve za distribucijo vsebine redno strežejo takšna opozorila kot del svoje storitve zaščite pred napadi DDoS. Sucuri je opazil, da ta novi JavaScript na spletnih mestih WordPress sproži lažno pojavno okno zaščite Cloudflare DDoS.

Uporabniki, ki so kliknili na lažni poziv za dostop do spletnega mesta, so na koncu prejeli zlonamerno datoteko .iso, ki je bila prenesena v njihov sistem. Nato so prejeli novo sporočilo, naj odprejo datoteko, da lahko prejmejo kodo za preverjanje dostopa do spletne strani. "Ker so te vrste pregledov brskalnika tako pogoste v spletu, mnogi uporabniki ne bi dvakrat premislili, preden bi kliknili ta poziv za dostop do spletne strani, ki jo poskušajo obiskati," je zapisal Sucuri. "Večina uporabnikov se ne zaveda, da je ta datoteka v resnici trojanec za oddaljeni dostop, ki ga je v času te objave trenutno označilo 13 prodajalcev varnosti."

Nevarna PODGANA

Sucuri je identificiral trojanca z oddaljenim dostopom kot NetSupport RAT, orodje zlonamerne programske opreme, ki so ga akterji izsiljevalske programske opreme prej uporabljali za odtis sistemov, preden so vanje dostavili izsiljevalsko programsko opremo. RAT je bil uporabljen tudi za odstranitev Racoon Stealerja, dobro znanega krajca informacij, ki je za kratek čas izginil iz vidnega polja v začetku tega leta pred vzpenjajo nazaj na pokrajino groženj v juniju. Racoon Stealer se je pojavil leta 2019 in je bil eden najplodnejših krajcev informacij leta 2021. Akterji groženj so ga distribuirali na različne načine, vključno z modeli zlonamerne programske opreme kot storitve in z namestitvijo na spletna mesta, ki prodajajo piratsko programsko opremo. Z lažnimi pozivi za zaščito Cloudflare DDoS imajo akterji groženj zdaj nov način za distribucijo zlonamerne programske opreme.

»Akterji groženj, zlasti pri lažnem predstavljanju, bodo uporabili vse, kar je videti legitimno, da bi preslepili uporabnike,« pravi John Bambenek, glavni lovec na grožnje pri Netenrichu. Ko se ljudje navadijo na mehanizme, kot je Captcha za odkrivanje in blokiranje botov, je smiselno, da akterji groženj uporabijo iste mehanizme, da poskušajo preslepiti uporabnike, pravi. »To ni mogoče uporabiti samo za to, da bi ljudje namestili zlonamerno programsko opremo, ampak bi se lahko uporabilo za 'preverjanje poverilnic' za krajo poverilnic večjih storitev v oblaku (kot so) Google, Microsoft in Facebook,« pravi Bambenek.

Navsezadnje operaterji spletnih mest potrebujejo način, kako razlikovati med resničnim uporabnikom in sintetičnim uporabnikom ali botom, ugotavlja. Toda pogosto bolj ko so orodja za odkrivanje botov učinkovita, težje jih uporabniki dekodirajo, dodaja Bambenek.

Charles Conley, višji raziskovalec kibernetske varnosti pri nVisium, pravi, da uporaba ponarejanja vsebine, kot je opazil Sucuri, za zagotavljanje RAT-a ni posebno nova. Kibernetski kriminalci so redno ponarejali poslovne aplikacije in storitve podjetij, kot so Microsoft, Zoom in DocuSign, da bi zagotovili zlonamerno programsko opremo in uporabnike pretentali v izvajanje vseh vrst nevarne programske opreme in dejanj.

Vendar pa lahko pri napadih ponarejanja v brskalniku privzete nastavitve v brskalnikih, kot je Chrome, ki skrijejo celoten URL, ali operacijski sistemi, kot je Windows, ki skrijejo datotečne pripone, celo zahtevnejšim posameznikom otežijo ugotovitev, kaj prenašajo in od kod izvirajo, Conley pravi.