ผู้คุกคามกำลังปลอมแปลงการตรวจสอบบ็อต Cloudflare DDoS เพื่อพยายามวางโทรจันการเข้าถึงระยะไกล (RAT) ในระบบที่เป็นของผู้เยี่ยมชมเว็บไซต์ WordPress ที่ถูกบุกรุกก่อนหน้านี้
นักวิจัยจาก Sucuri เพิ่งค้นพบเวกเตอร์การโจมตีใหม่ขณะตรวจสอบa เพิ่มการโจมตีด้วยการฉีด JavaScript ที่กำหนดเป้าหมายไปที่ WordPress เว็บไซต์ พวกเขาสังเกตเห็นผู้โจมตีใส่สคริปต์ลงในเว็บไซต์ WordPress ที่เรียกข้อความแจ้งปลอมโดยอ้างว่าเป็นเว็บไซต์ที่ตรวจสอบว่าผู้เยี่ยมชมเว็บไซต์เป็นมนุษย์หรือบอท DDoS
เว็บแอปพลิเคชันไฟร์วอลล์ (WAF) และบริการเครือข่ายการกระจายเนื้อหาจำนวนมากให้บริการการแจ้งเตือนดังกล่าวเป็นประจำซึ่งเป็นส่วนหนึ่งของบริการป้องกัน DDoS Sucuri สังเกตเห็น JavaScript ใหม่นี้บนไซต์ WordPress ที่เรียกป๊อปอัปการป้องกัน Cloudflare DDoS ปลอม
ผู้ใช้ที่คลิกพรอมต์ปลอมเพื่อเข้าถึงเว็บไซต์จบลงด้วยไฟล์ .iso ที่เป็นอันตรายที่ดาวน์โหลดลงในระบบของพวกเขา จากนั้นพวกเขาได้รับข้อความใหม่ที่ขอให้เปิดไฟล์เพื่อรับรหัสยืนยันสำหรับการเข้าถึงเว็บไซต์ “เนื่องจากการตรวจสอบเบราว์เซอร์ประเภทนี้เป็นเรื่องธรรมดามากในเว็บ ผู้ใช้หลายคนจะไม่คิดสองครั้งก่อนที่จะคลิกข้อความแจ้งนี้เพื่อเข้าถึงเว็บไซต์ที่พวกเขากำลังพยายามเข้าชม” Sucuri เขียน “สิ่งที่ผู้ใช้ส่วนใหญ่ไม่ทราบก็คือไฟล์นี้เป็นโทรจันการเข้าถึงระยะไกล ซึ่งปัจจุบันถูกตั้งค่าสถานะโดยผู้จำหน่ายความปลอดภัย 13 รายในขณะที่โพสต์นี้”
หนูอันตราย
Sucuri ระบุโทรจันที่เข้าถึงจากระยะไกลเป็น NetSupport RAT ซึ่งเป็นเครื่องมือมัลแวร์ที่ผู้แสดงแรนซัมแวร์เคยใช้ในการเผยแพร่ระบบก่อนที่จะส่งแรนซัมแวร์ไปยังพวกเขา RAT ยังถูกใช้เพื่อดร็อป Racoon Stealer ซึ่งเป็นผู้ขโมยข้อมูลที่รู้จักกันดีซึ่งหายไปชั่วขณะเมื่อต้นปีนี้ ฟื้นคืนสภาพภัยคุกคาม ในเดือนมิถุนายน Racoon Stealer ปรากฏขึ้นในปี 2019 และเป็นหนึ่งในผู้ขโมยข้อมูลที่มีปริมาณมากที่สุดในปี 2021 ผู้คุกคามได้เผยแพร่ข้อมูลดังกล่าวในหลากหลายวิธี รวมถึงโมเดลมัลแวร์ในฐานะบริการ และโดยการวางบนเว็บไซต์ที่ขายซอฟต์แวร์ละเมิดลิขสิทธิ์ ด้วยข้อความแจ้งการป้องกัน DDoS ปลอมของ Cloudflare ผู้คุกคามจึงมีวิธีการใหม่ในการกระจายมัลแวร์
“ผู้คุกคาม โดยเฉพาะอย่างยิ่งเมื่อฟิชชิ่ง จะใช้ทุกอย่างที่ดูถูกเพื่อหลอกผู้ใช้” จอห์น แบมเบเนก นักล่าภัยคุกคามหลักของ Netenrich กล่าว ในขณะที่ผู้คนคุ้นเคยกับกลไกต่างๆ เช่น Captcha ในการตรวจจับและบล็อกบอท มันจึงสมเหตุสมผลที่ผู้คุกคามจะใช้กลไกเดียวกันเหล่านี้เพื่อพยายามหลอกผู้ใช้ เขากล่าว “สิ่งนี้ไม่เพียงแต่สามารถใช้เพื่อให้ผู้คนติดตั้งมัลแวร์เท่านั้น แต่ยังสามารถใช้สำหรับ 'การตรวจสอบข้อมูลรับรอง' เพื่อขโมยข้อมูลรับรองของบริการคลาวด์ที่สำคัญ (เช่น) Google, Microsoft และ Facebook” Bambenek กล่าว
ในท้ายที่สุด ผู้ดำเนินการเว็บไซต์ต้องการวิธีบอกความแตกต่างระหว่างผู้ใช้จริงกับผู้ใช้ที่สังเคราะห์ หรือบอท เขากล่าว แต่บ่อยครั้งที่เครื่องมือในการตรวจหาบอทมีประสิทธิภาพมากขึ้น ผู้ใช้ก็จะถอดรหัสได้ยากขึ้น Bambenek กล่าวเสริม
Charles Conley นักวิจัยอาวุโสด้านความปลอดภัยในโลกไซเบอร์ที่ nVisium กล่าวว่าการใช้เนื้อหาที่หลอกลวงในลักษณะที่ Sucuri สังเกตเห็นเพื่อส่ง RAT ไม่ใช่เรื่องใหม่โดยเฉพาะ อาชญากรไซเบอร์มักปลอมแปลงแอปและบริการที่เกี่ยวข้องกับธุรกิจจากบริษัทต่างๆ เช่น Microsoft, Zoom และ DocuSign เพื่อส่งมัลแวร์และหลอกให้ผู้ใช้เรียกใช้ซอฟต์แวร์และการกระทำที่ไม่ปลอดภัยทุกประเภท
อย่างไรก็ตาม ด้วยการโจมตีด้วยการปลอมแปลงบนเบราว์เซอร์ การตั้งค่าเริ่มต้นบนเบราว์เซอร์ เช่น Chrome ที่ซ่อน URL แบบเต็มหรือระบบปฏิบัติการ เช่น Windows ที่ซ่อนนามสกุลไฟล์ อาจทำให้ผู้ที่ฉลาดกว่านั้นแยกแยะได้ยากขึ้นว่ากำลังดาวน์โหลดอะไรและมาจากไหน คอนลี่ย์กล่าว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
