Các tác nhân đe dọa đang giả mạo kiểm tra bot DDoS của Cloudflare nhằm cố gắng loại bỏ một Trojan truy cập từ xa (RAT) trên các hệ thống thuộc về khách truy cập vào một số trang web WordPress đã bị xâm nhập trước đó.
Các nhà nghiên cứu từ Sucuri gần đây đã phát hiện ra vectơ tấn công mới trong khi điều tra một gia tăng các cuộc tấn công tiêm JavaScript nhắm mục tiêu vào WordPress các trang web. Họ đã quan sát thấy những kẻ tấn công đưa một tập lệnh vào các trang web WordPress để kích hoạt lời nhắc giả tự xưng là trang web đang xác minh xem khách truy cập trang web là con người hay bot DDoS.
Nhiều tường lửa ứng dụng Web (WAF) và các dịch vụ mạng phân phối nội dung thường xuyên cung cấp các cảnh báo như một phần của dịch vụ bảo vệ DDoS của họ. Sucuri đã quan sát thấy JavaScript mới này trên các trang web WordPress kích hoạt cửa sổ bật lên bảo vệ DDoS Cloudflare giả mạo.
Người dùng nhấp vào lời nhắc giả mạo để truy cập trang web đã nhận được một tệp .iso độc hại được tải xuống hệ thống của họ. Sau đó, họ nhận được một tin nhắn mới yêu cầu họ mở tệp để có thể nhận mã xác minh để truy cập trang web. Sucuri viết: “Vì những kiểu kiểm tra trình duyệt này rất phổ biến trên web nên nhiều người dùng sẽ không suy nghĩ kỹ trước khi nhấp vào lời nhắc này để truy cập trang web mà họ đang cố truy cập”. “Điều mà hầu hết người dùng không nhận ra là tệp này trên thực tế là một trojan truy cập từ xa, hiện được 13 nhà cung cấp bảo mật gắn cờ tại thời điểm đăng bài này.”
CHUỘT nguy hiểm
Sucuri đã xác định Trojan truy cập từ xa là NetSupport RAT, một công cụ phần mềm độc hại mà các tác nhân ransomware trước đây đã sử dụng để theo dõi các hệ thống trước khi cung cấp ransomware cho chúng. RAT cũng đã được sử dụng để thả Racoon Stealer, một kẻ đánh cắp thông tin nổi tiếng đã biến mất trong một thời gian ngắn vào đầu năm nay trước đó. tăng trở lại trong bối cảnh mối đe dọa trong tháng Sáu. Racoon Stealer xuất hiện vào năm 2019 và là một trong những kẻ đánh cắp thông tin nhiều nhất vào năm 2021. Những kẻ đe dọa đã phân phối nó theo nhiều cách khác nhau, bao gồm các mô hình phần mềm độc hại dưới dạng dịch vụ và bằng cách cài đặt nó trên các trang web bán phần mềm vi phạm bản quyền. Với lời nhắc bảo vệ DDoS Cloudflare giả mạo, các tác nhân đe dọa hiện có một cách mới để phân phối phần mềm độc hại.
John Bambenek, chuyên gia săn mối đe dọa chính tại Netenrich cho biết: “Những kẻ đe dọa, đặc biệt là khi lừa đảo, sẽ sử dụng bất cứ thứ gì có vẻ hợp pháp để đánh lừa người dùng”. Ông nói: Khi mọi người đã quen với các cơ chế như Captcha để phát hiện và chặn bot, việc các tác nhân đe dọa sử dụng các cơ chế tương tự đó để cố gắng đánh lừa người dùng là điều dễ hiểu. Bambenek nói: “Điều này không chỉ có thể được sử dụng để khiến mọi người cài đặt phần mềm độc hại mà còn có thể được sử dụng để 'kiểm tra thông tin xác thực' nhằm đánh cắp thông tin xác thực của các dịch vụ đám mây lớn (chẳng hạn như) Google, Microsoft và Facebook”.
Cuối cùng, các nhà điều hành trang web cần một cách để phân biệt sự khác biệt giữa người dùng thực và người dùng tổng hợp hoặc bot, ông lưu ý. Nhưng thường thì các công cụ phát hiện bot càng hiệu quả thì người dùng càng khó giải mã chúng, Bambenek cho biết thêm.
Charles Conley, nhà nghiên cứu an ninh mạng cấp cao tại nVisium, nói rằng việc sử dụng kiểu giả mạo nội dung mà Sucuri đã quan sát để cung cấp RAT không phải là đặc biệt mới. Tội phạm mạng thường xuyên giả mạo các ứng dụng và dịch vụ liên quan đến kinh doanh từ các công ty như Microsoft, Zoom và DocuSign để phân phối phần mềm độc hại và lừa người dùng thực hiện tất cả các loại hành động và phần mềm không an toàn.
Tuy nhiên, với các cuộc tấn công giả mạo dựa trên trình duyệt, cài đặt mặc định trên các trình duyệt như Chrome ẩn URL đầy đủ hoặc hệ điều hành như Windows ẩn phần mở rộng tệp có thể khiến ngay cả những cá nhân sáng suốt cũng khó biết họ đang tải xuống nội dung gì và nó đến từ đâu, Conley nói.
