Hotaktörer spoofar Cloudflare DDoS-botcheckar i ett försök att släppa en fjärråtkomsttrojan (RAT) på system som tillhör besökare på några tidigare komprometterade WordPress-webbplatser.
Forskare från Sucuri upptäckte nyligen den nya attackvektorn medan de undersökte en ökning av JavaScript-injektionsattacker riktade mot WordPress webbplatser. De observerade att angriparna injicerade ett skript på WordPress-webbplatserna som utlöste en falsk prompt som påstod sig vara webbplatsen som verifierade om en webbplatsbesökare är en människa eller en DDoS-bot.
Många webbapplikationsbrandväggar (WAF) och nätverkstjänster för innehållsdistribution tillhandahåller rutinmässigt sådana varningar som en del av deras DDoS-skyddstjänst. Sucuri observerade detta nya JavaScript på WordPress-webbplatser som utlöste en falsk Cloudflare DDoS-skyddspopup.
Användare som klickade på den falska prompten för att komma åt webbplatsen slutade med en skadlig .iso-fil nedladdad till sina system. De fick sedan ett nytt meddelande som bad dem att öppna filen så att de kan få en verifieringskod för att komma åt webbplatsen. "Eftersom dessa typer av webbläsarkontroller är så vanliga på webben skulle många användare inte tänka två gånger innan de klickade på den här uppmaningen för att komma åt webbplatsen de försöker besöka", skrev Sucuri. "Vad de flesta användare inte inser är att den här filen i själva verket är en trojan för fjärråtkomst, för närvarande flaggad av 13 säkerhetsleverantörer vid tidpunkten för detta inlägg."
Farlig RAT
Sucuri identifierade fjärråtkomsttrojanen som NetSupport RAT, ett skadligt verktyg som ransomware-aktörer tidigare har använt för att fotavtrycka system innan de levererade ransomware på dem. RAT har också använts för att släppa Racoon Stealer, en välkänd informationsstjälare som en kort stund föll utom synhåll tidigare i år innan stiger tillbaka på hotbilden i juni. Racoon Stealer dök upp 2019 och var en av de mest produktiva informationsstöldarna 2021. Hotaktörer har distribuerat den på en mängd olika sätt, inklusive malware-as-a-service-modeller och genom att plantera den på webbplatser som säljer piratkopierad programvara. Med de falska Cloudflare DDoS-skyddsmeddelandena har hotaktörer nu ett nytt sätt att distribuera skadlig programvara.
"Hotaktörer, särskilt vid nätfiske, kommer att använda allt som ser legitimt ut för att lura användare", säger John Bambenek, huvudhotsjägare på Netenrich. När människor vänjer sig vid mekanismer som Captchas för att upptäcka och blockera bots, är det vettigt för hotaktörer att använda samma mekanismer för att försöka lura användare, säger han. "Detta kan inte bara användas för att få människor att installera skadlig programvara, utan kan användas för "referenskontroller" för att stjäla referenser för stora molntjänster (som) Google, Microsoft och Facebook, säger Bambenek.
I slutändan behöver webbplatsoperatörer ett sätt att se skillnaden mellan en riktig användare och en syntetisk, eller en bot, noterar han. Men ofta ju effektivare verktygen för att upptäcka bots blir, desto svårare blir de för användarna att avkoda, tillägger Bambenek.
Charles Conley, senior cybersäkerhetsforskare på nVisium, säger att det inte är särskilt nytt att använda innehållsspoofing av det slag som Sucuri observerade för att leverera en RAT. Cyberkriminella har rutinmässigt förfalskat affärsrelaterade appar och tjänster från företag som Microsoft, Zoom och DocuSign för att leverera skadlig programvara och lura användare att utföra alla typer av osäkra program och åtgärder.
Men med webbläsarbaserade spoofingattacker kan standardinställningar i webbläsare som Chrome som döljer hela webbadressen eller operativsystem som Windows som döljer filtillägg göra det svårare för även kräsna individer att se vad de laddar ner och var det kommer ifrån, säger Conley.
