Eine neue Malware-Kampagne wurde entdeckt, immer mehr legitim, sondern beeinträchtigt Websites nutzen. Der bösartige Vorgang wurde auf Social-Engineering-Tricks gebaut, wo Benutzer aufgefordert werden, mit gefälschten aber authentisch Update-Benachrichtigungen, Forscher berichteten,.
Gefälschte Update-Technik erfolgreich Tricks Nutzer
Die frühesten Konten dieser Kampagne sind von Dezember letzten Jahres, als BroadAnalysis ein Skript von DropBox analysiert heruntergeladen.
Die aktuelle Kampagne beeinflusst mehrere Content Management Systeme wie Wordpress und Joomla. Laut Sicherheitsforscher Jerome Segura, einige der betroffenen Websites waren out-of-date und waren anfällig für bösartige Code-Injektion. Der Forscher glaubt, dass die Angreifer diese Technik verwendet, um eine Bestandsaufnahme der kompromittierten Websites zu entwickeln. Jedoch, Diese Theorie wird noch bestätigt werden.
Wordpress und Joomla-Websites wurden sowohl JavaScript-Dateien mit Injektion in ihre Systeme gehackt. Einige der injizierten Dateien haben die jquery.js und caption.js Bibliotheken, in denen in der Regel Code angehängt wird, und kann durch den Vergleich mit einer sauberen Kopie der gleichen Datei erkannt werden.
Mit Hilfe eines speziell entwickelten Raupen, Forscher waren in der Lage, eine Reihe von kompromittiert Wordpress und Joomla-Websites zu finden,. Obwohl gibt es keine genaue Zahl der infizierten Websites, es ist sehr wahrscheinlich in die Tausende.
Neben Joomla und Wordpress, ein anderes Content-Management-System wurde ebenfalls betroffen - Square. Ein Benutzer hat Square berichtet dass er auf eine ganze Seite umgeleitet sagen, dass „Ihre Version von Chrom muss aktualisiert werden".
Wie erfolgt die Infektion aus? Die betroffenen CMS Seiten wurden gefunden Umleitung URLs mit ähnlichen Mustern triggern, mit dem Laden der jeweiligen gefälschten Update endet. Forscher sagen, dass es verschiedene URLs für jeden betroffenen CMS.
Was für gefälschtes Updates verwendet wurde? Betrügerische Browser-Updates ist für das Chrome gemeint und Firefox Browser, und Internet Explorer wurde über einen gefälschten Flash Player-Update-Targeting.
Was ist die Nutzlast der bösartigen Kampagne?
Die Forscher konnten feststellen, dass eine der Nutzlasten ist fiel die chtonic Banking Malware, eine Variante von ZeusVM. Ein weiterer ist der NetSupport RAT.
Dies ist nicht die erste Kampagne zu missbrauchen ungepatchte, daher anfällig CMS-basierte Websites. CMS Schwachstellen sind ein gemeinsamer Faktor in vielen der erfolgreichen Malware-Attacken. Beispielsweise, in 2016 Forscher fanden heraus, dass eine große Zahl von Unternehmen wurden auf veraltete Versionen von Drupal und Wordpress läuft.