Hakerzy na stronach dla dorosłych. Infekują użytkowników złośliwym trojanem
Cyberprzestępcy atakują na stronach dla dorosłych. Nakłaniają niczego niepodejrzewające ofiary do pobrania złośliwego oprogramowania, informując je, że ich przeglądarka jest nieaktualna i wymaga aktualizacji, aby można było wyświetlić zawartość witryny.
Badacze cyberbezpieczeństwa z firmy Avast, Jan Rubin i Pavel Novak, odkryli kampanię phishingową, w której nieznany cyberprzestępca naruszył ponad 16 tys. stron internetowych hostowanych na platformach WordPress i Joomla wykorzystując słabe dane uwierzytelniające. Są to zazwyczaj witryny z treściami dla dorosłych. Swoje badania opisali na oficjalnym blogu Avast Threat Labs.
"Jedyną wspólną cechą tych witryn jest to, że działają w systemie WordPress, a w niektórych przypadkach także Joomla. Dlatego podejrzewamy, że wykorzystano słabe dane uwierzytelniające do logowania, aby zainfekować strony złośliwym kodem" – powiedział Pavel Novak, analityk ThreatOps w firmie Avast.
Po uzyskaniu dostępu do tych stron atakujący zazwyczaj uruchamiają system kierowania ruchem Parrot TDS. "Traffic Direction Systems służą jako brama do dostarczania różnych złośliwych kampanii za pośrednictwem zainfekowanych stron" – powiedział Jan Rubin, badacz złośliwego oprogramowania z firmy Avast. "Obecnie za pośrednictwem Parrot TDS dystrybuowana jest złośliwa kampania o nazwie 'FakeUpdate', jednak w przyszłości za pośrednictwem TDS mogą być wykonywane inne złośliwe działania".
Osoby, które otrzymają komunikat o zaktualizowaniu przeglądarki, w rzeczywistości mogą zostać zainfekowane trojanem zdalnego dostępu (RAT) o nazwie NetSupport Manager. Zapewnia on atakującemu pełny dostęp do docelowego punktu końcowego. Poza tym, że strony są zasilane przez WordPress lub Joomla i są kierowane do dorosłych użytkowników, mają ze sobą niewiele wspólnego, dlatego badacze uważają, że zostały wybrane ze względu na słabe hasła. Może to być znak dla każdego użytkownika, by nawet w tych rozrywkowych serwisach używać lepszych zabezpieczeń.