Зловмисники підробляють бот-перевірки Cloudflare DDoS, намагаючись скинути троян віддаленого доступу (RAT) на системи, що належать відвідувачам деяких раніше скомпрометованих веб-сайтів WordPress.
Дослідники з Sucuri нещодавно помітили новий вектор атаки, досліджуючи a сплеск ін’єкційних атак JavaScript, спрямованих на WordPress сайти. Вони спостерігали, як зловмисники впровадили сценарій на веб-сайти WordPress, який ініціював підроблене повідомлення, нібито веб-сайт перевіряв, чи є відвідувач сайту людиною чи DDoS-ботом.
Багато брандмауерів веб-додатків (WAF) і мережевих служб розповсюдження вмісту регулярно подають такі сповіщення як частину служби захисту від DDoS. Sucuri помітив, що цей новий JavaScript на сайтах WordPress запускає підроблене спливаюче вікно захисту Cloudflare DDoS.
Користувачі, які натискали на підроблену підказку для доступу до веб-сайту, отримували шкідливий файл .iso, завантажений у їхні системи. Потім вони отримали нове повідомлення з проханням відкрити файл, щоб вони могли отримати код підтвердження для доступу до веб-сайту. «Оскільки такі типи перевірок браузера дуже поширені в Інтернеті, багато користувачів не замислюються, перш ніж натиснути цю підказку, щоб отримати доступ до веб-сайту, який вони намагаються відвідати», — написав Сукурі. «Більшість користувачів не усвідомлюють, що цей файл насправді є трояном віддаленого доступу, наразі позначеним 13 постачальниками засобів безпеки на момент публікації».
Небезпечний ЩУР
Sucuri ідентифікувала трояна з віддаленим доступом як NetSupport RAT, шкідливе програмне забезпечення, яке учасники програм-вимагачів раніше використовували для відбитків систем перед тим, як поставити на них програми-вимагачі. RAT також використовувався для вилучення Racoon Stealer, відомого викрадача інформації, який ненадовго зник з поля зору на початку цього року. повертаючись до ландшафту загроз В червні. Racoon Stealer з’явився в 2019 році та був одним із найактивніших викрадачів інформації 2021 року. Зловмисники поширювали його різними способами, зокрема за допомогою моделей шкідливого програмного забезпечення як послуги та розміщуючи його на веб-сайтах, що продають піратське програмне забезпечення. Завдяки фальшивим підказкам Cloudflare про захист від DDoS-атаки зловмисники тепер мають новий спосіб розповсюдження зловмисного програмного забезпечення.
«Актори загрози, особливо під час фішингу, використовуватимуть усе, що виглядає законним, щоб обдурити користувачів», — каже Джон Бамбенек, головний мисливець за загрозами в Netenrich. Оскільки люди звикають до таких механізмів, як Captcha для виявлення та блокування ботів, для суб’єктів загрози має сенс використовувати ті самі механізми, щоб спробувати обдурити користувачів, каже він. «Це можна використовувати не тільки для того, щоб спонукати людей встановлювати зловмисне програмне забезпечення, але й для «перевірки облікових даних», щоб викрасти облікові дані основних хмарних служб (таких як) Google, Microsoft і Facebook», — каже Бамбенек.
Зрештою, операторам веб-сайтів потрібен спосіб відрізнити реального користувача від синтетичного або бота, зазначає він. Але часто чим ефективнішими стають інструменти для виявлення ботів, тим важче користувачам їх декодувати, додає Бамбенек.
Чарльз Конлі, старший дослідник з кібербезпеки в nVisium, каже, що використання фальсифікації вмісту, схоже на те, що Сукурі спостерігав, для доставки RAT не є новим. Кіберзлочинці регулярно підробляли пов’язані з бізнесом програми та служби від таких компаній, як Microsoft, Zoom і DocuSign, щоб розповсюджувати зловмисне програмне забезпечення та обманом змушувати користувачів виконувати всі види небезпечного програмного забезпечення та дій.
Однак під час спуфінгу на основі веб-переглядача налаштування за замовчуванням у таких веб-переглядачах, як Chrome, які приховують повну URL-адресу, або такі операційні системи, як Windows, які приховують розширення файлів, можуть ускладнити навіть вимогливим людям визначити, що вони завантажують і звідки, Конлі каже.
