En ny malware kampagne er blevet opdaget udnytte et stigende antal legitime men kompromitterede hjemmesider. Den ondsindede operation er bygget på social engineering tricks, hvor brugerne bliver bedt med falske men autentiske opdateringsmeddelelser, forskere rapporteret.
Falske opdatering Teknik Succesfuld Tricks Brugere
De tidligste beretninger om denne kampagne er fra December sidste år, da BroadAnalysis analyseret et script downloades fra DropBox.
Den aktuelle kampagne påvirker flere Content Management Systemer såsom WordPress og Joomla. Ifølge sikkerhed forsker Jerome Segura, flere af de berørte hjemmesider var out-of-date og var udsat for skadelig kode injektion. Forskeren mener, at angriberne brugt denne teknik til at udvikle en fortegnelse over kompromitterede websites. Men, denne teori er endnu ikke bekræftet.
WordPress og Joomla hjemmesider blev begge hacket hjælp injektion inde i deres systemer JavaScript-filer. Nogle af de injicerede filer har jquery.js og caption.js biblioteker, hvor koden er normalt vedhæftede og kan genkendes ved at sammenligne det med en ren kopi af den samme fil.
Ved hjælp af en specielt designet crawler, forskerne var i stand til at lokalisere en række kompromitterede WordPress og Joomla hjemmesider. Selv om der ikke er en eksakt antal af de inficerede hjemmesider, det er mest sandsynligt i tusindvis.
Udover Joomla og WordPress, en anden content management system var også påvirket - Squarespace. En Squarespace bruger har rapporteret at han blev omdirigeret til en hel side at sige, at ”din version af krom skal opdateres".
Hvordan infektionen udføres? De berørte CMS hjemmesider viste sig at udløse omdirigering URL'er med lignende mønstre, slutter med lastning af den særlige falske opdatering. Forskere siger, at der er forskellige webadresser for hver berørt CMS.
Hvilke falske opdateringer er blevet brugt? Falske browseropdateringer er beregnet til Chrome og Firefox browsere, og Internet Explorer har været rettet mod via en falsk Flash Player opdatering.
Hvad er nyttelasten på det skadelige kampagne?
Forskere var i stand til at bestemme, at en af nyttelast faldt er Chtonic bank malware, en variant af ZeusVM. En anden grund er NetSupport RAT.
Dette er ikke den første kampagne misbruger unpatched, dermed sårbare CMS-baserede websites. CMS sårbarheder er en fælles faktor i mange af de vellykkede malware angreb. For eksempel, i 2016 Forskerne fandt, at et stort antal virksomheder kørte på forældede versioner af Drupal og WordPress.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: