En ny malware kampagne er blevet opdaget udnytte et stigende antal legitime men kompromitterede hjemmesider. Den ondsindede operation er bygget på social engineering tricks, hvor brugerne bliver bedt med falske men autentiske opdateringsmeddelelser, forskere rapporteret.
Falske opdatering Teknik Succesfuld Tricks Brugere
De tidligste beretninger om denne kampagne er fra December sidste år, da BroadAnalysis analyseret et script downloades fra DropBox.
Den aktuelle kampagne påvirker flere Content Management Systemer såsom WordPress og Joomla. Ifølge sikkerhed forsker Jerome Segura, flere af de berørte hjemmesider var out-of-date og var udsat for skadelig kode injektion. Forskeren mener, at angriberne brugt denne teknik til at udvikle en fortegnelse over kompromitterede websites. Men, denne teori er endnu ikke bekræftet.
WordPress og Joomla hjemmesider blev begge hacket hjælp injektion inde i deres systemer JavaScript-filer. Nogle af de injicerede filer har jquery.js og caption.js biblioteker, hvor koden er normalt vedhæftede og kan genkendes ved at sammenligne det med en ren kopi af den samme fil.
Ved hjælp af en specielt designet crawler, forskerne var i stand til at lokalisere en række kompromitterede WordPress og Joomla hjemmesider. Selv om der ikke er en eksakt antal af de inficerede hjemmesider, det er mest sandsynligt i tusindvis.
Udover Joomla og WordPress, en anden content management system var også påvirket - Squarespace. En Squarespace bruger har rapporteret at han blev omdirigeret til en hel side at sige, at ”din version af krom skal opdateres".
Hvordan infektionen udføres? De berørte CMS hjemmesider viste sig at udløse omdirigering URL'er med lignende mønstre, slutter med lastning af den særlige falske opdatering. Forskere siger, at der er forskellige webadresser for hver berørt CMS.
Hvilke falske opdateringer er blevet brugt? Falske browseropdateringer er beregnet til Chrome og Firefox browsere, og Internet Explorer har været rettet mod via en falsk Flash Player opdatering.
Hvad er nyttelasten på det skadelige kampagne?
Forskere var i stand til at bestemme, at en af nyttelast faldt er Chtonic bank malware, en variant af ZeusVM. En anden grund er NetSupport RAT.
Dette er ikke den første kampagne misbruger unpatched, dermed sårbare CMS-baserede websites. CMS sårbarheder er en fælles faktor i mange af de vellykkede malware angreb. For eksempel, i 2016 Forskerne fandt, at et stort antal virksomheder kørte på forældede versioner af Drupal og WordPress.