Una nueva campaña de malware ha sido descubierto el aprovechamiento de un número creciente de sitios web legítimos pero comprometidos. La operación maliciosa se ha construido sobre trucos de ingeniería social, donde los usuarios deberán con las notificaciones de actualización falsos, pero auténticos, los investigadores informaron.
Falsa actualización técnica con éxito engaña a los usuarios
Las primeras cuentas de esta campaña son desde diciembre del año pasado, cuando BroadAnalysis analizó un script descargado de DropBox.
La campaña actual está afectando a varios sistemas de gestión de contenido como WordPress y Joomla. De acuerdo con el investigador de seguridad Jerome Segura, varios de los sitios web afectados estaban fuera de fecha y eran propensos a la inyección de código malicioso. El investigador cree que los atacantes utilizaron esta técnica para desarrollar un inventario de los sitios comprometidos. Sin embargo, esta teoría aún no se ha confirmado.
sitios web de WordPress y Joomla ambos fueron hackeados usando la inyección en el interior de los archivos JavaScript de sus sistemas. Algunos de los archivos inyectados tienen los jquery.js y caption.js bibliotecas donde el código se suele adjuntas y puede reconocerse mediante la comparación con una copia limpia del mismo archivo.
El uso de un rastreador especialmente diseñado, los investigadores fueron capaces de localizar una serie de sitios web de WordPress y Joomla comprometidas. A pesar de que no hay un número exacto de los sitios web infectados, es más probable en los miles.
Además de Joomla y WordPress, otro sistema de gestión de contenidos también se vio afectada - Squarespace. Un usuario Squarespace tiene reportado que fue redirigido a una página completa diciendo que “su versión de cromo necesita una reforma".
¿Cómo se lleva a cabo la infección? Se encontró que los sitios web de CMS afectadas para activar las direcciones URL de redirección con patrones similares, terminando con la carga de la actualización falsa particular,. Los investigadores dicen que hay diferentes direcciones URL para cada CMS afectados.
¿Qué actualizaciones falsas han sido utilizados? actualizaciones del navegador fraudulentas son para el cromo y Firefox navegadores, e Internet Explorer ha estado apuntando a través de una falsa actualización de Flash Player.
¿Cuál es la carga útil de la campaña maliciosa?
Los investigadores fueron capaces de determinar que una de las cargas útiles caído es el malware bancario Chtonic, una variante de ZeusVM. Otro es el RAT NetSupport.
Esta no es la primera campaña de abusar sin parches, sitios web basados en CMS, por lo tanto vulnerables. vulnerabilidades CMS son un factor común en muchos de los ataques de malware con éxito. Por ejemplo, en 2016 los investigadores encontraron que un gran número de empresas se ejecuta en versiones no actualizadas de Drupal y WordPress.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: