I criminali informatici stanno ingannando le vittime a scaricare malware (si apre in una nuova scheda) dicendo loro che i loro browser sono obsoleti e devono essere aggiornati per visualizzare il contenuto della pagina.
I ricercatori di cybersicurezza Avast Jan Rubin e Pavel Novak hanno scoperto una campagna di phishing in cui un attore sconosciuto ha compromesso più di 16.000 siti web WordPress e Joomla ospitati con credenziali di accesso deboli.
Di solito si tratta di siti web con contenuti per adulti, siti personali, siti universitari e pagine del governo locale
Dopo aver ottenuto l’accesso a questi siti, gli aggressori di solito impostano un Traffic Direction System (TDS), Parrot TDS. Un TDS è un gate basato sul web che reindirizza gli utenti a vari contenuti, a seconda di alcuni parametri. Questo permette agli aggressori di distribuire il malware solo sugli endpoint (si apre in una nuova scheda) che sono considerati un buon obiettivo (scarse misure di cybersecurity, per esempio, o specifiche località geografiche).
Quelli che ricevono il messaggio di “aggiornare” il loro browser, saranno in realtà serviti un Trojan di accesso remoto (RAT) chiamato NetSupport Manager. Esso fornisce all’attaccante un accesso completo all’endpoint di destinazione.
“I sistemi di direzione del traffico servono come un gateway per la consegna di varie campagne dannose attraverso i siti infetti“, ha detto Jan Rubin, ricercatore di malware di Avast. “Al momento, una campagna dannosa chiamata ‘FakeUpdate’ (nota anche come SocGholish) viene distribuita tramite Parrot TDS, ma altre attività dannose potrebbero essere eseguite in futuro tramite i TDS“.
Oltre ad essere su piattaforma WordPress o Joomla, questi siti web hanno molto poco in comune, motivo per cui i ricercatori credono che sono stati scelti per le loro password deboli.
“L’unica cosa che i siti hanno in comune è che sono siti WordPress e in alcuni casi Joomla. Abbiamo quindi il sospetto che le credenziali di accesso deboli siano state sfruttate per infettare i siti con codice maligno“, ha detto Pavel Novak, ThreatOps Analyst di Avast. “La robustezza di Parrot TDS e la sua enorme portata lo rendono unico“.
