Le pagine di protezione DDoS sono diventate così comuni che gli utenti raramente ci pensano due volte a fare ciò che queste pagine dicono loro di fare per ottenere l’accesso al sito web. Questo stato di cose viene sfruttato da abili venditori di malware.
I visitatori di siti WordPress che sono stati violati e iniettati con JavaScript appositamente creato si trovano di fronte alla falsa pagina “Cloudflare DDoS protection“, che dice loro di scaricare security_install.iso, apparentemente un’applicazione di sicurezza.
Una volta scaricata, viene chiesto loro di eseguirla e di inserire il “codice di verifica personale” che ricevono nella pagina falsa.
Il file .iso contiene effettivamente un codice di verifica, ma purtroppo può anche portare all’installazione occulta di un trojan per l’accesso remoto (NetSupport RAT) e di un infostealer (RaccoonStealer).
“Il computer infetto potrebbe essere utilizzato per rubare le credenziali dei social media o delle banche, far esplodere un ransomware o addirittura intrappolare la vittima in una rete nefasta di “schiavi“, estorcere il proprietario del computer e violare la sua privacy, a seconda di ciò che gli aggressori decidono di fare con il dispositivo compromesso“, ha spiegato Ben Martin, analista della sicurezza di Sucuri.
Come proteggersi
Il file.iso dannoso è già stato rilevato da un numero crescente di soluzioni AV, ma gli aggressori possono facilmente sostituirlo con uno nuovo che passerà inosservato (almeno per un breve periodo).
Si consiglia agli utenti di aggiornare regolarmente il sistema operativo e il software, di evitare di scaricare e aprire file “strani” e di utilizzare un’estensione del browser che blocchi gli script.
