Une nouvelle campagne malware a été découvert tirant parti d'un nombre croissant de sites Web légitimes, mais compromis. L'opération malveillant a été construit sur des astuces d'ingénierie sociale où les utilisateurs sont invités des notifications de mise à jour, mais faux authentiques, Les chercheurs ont rapporté.
Mise à jour Faux Technique Avec succès Astuces utilisateurs
Les premiers comptes de cette campagne sont de Décembre l'année dernière quand BroadAnalysis analysé un script téléchargé à partir DropBox.
La campagne actuelle affecte plusieurs systèmes de gestion de contenu tels que WordPress et Joomla. Selon le chercheur de sécurité Jerome Segura, plusieurs des sites touchés étaient hors jour et étaient sujettes à l'injection de code malveillant. Le chercheur estime que les attaquants ont utilisé cette technique pour dresser un inventaire des sites compromis. Cependant, cette théorie est encore à confirmer.
sites WordPress et Joomla ont tous deux été piraté par injection dans les fichiers JavaScript de leurs systèmes. Certains des fichiers injectés ont les bibliothèques jquery.js et caption.js où le code est généralement Concaténé et peut être reconnu en la comparant avec une copie propre du même fichier.
En utilisant un robot spécialement conçu, les chercheurs ont pu localiser un certain nombre de sites WordPress et Joomla compromis. Même si il n'y a pas un nombre exact des sites infectés, il est fort probable dans les milliers.
En plus de Joomla et WordPress, un autre système de gestion de contenu a également été affectée - Squarespace. Un utilisateur a Squarespace signalé qu'il a été redirigé vers une page complète en disant que «votre version de chrome a besoin de mise à jour".
Comment l'infection effectuée? Les sites concernés CMS ont été trouvés pour déclencher des URL de redirection avec des motifs similaires, se terminant par le chargement de la mise à jour faux particulier. Les chercheurs disent qu'il ya des URL différentes pour chaque CMS affectées.
Quelles mises à jour faux ont été utilisés? les mises à jour du navigateur sont destinés à Fraudulent Chrome et Firefox navigateurs, et Internet Explorer a été cible via une mise à jour Flash Player faux.
Quelle est la charge utile de la campagne malveillante?
Les chercheurs ont pu déterminer que l'une des charges utiles est tombé le malware bancaire Chotoniennes, une variante de ZeusVM. Un autre est le RAT NetSupport.
Ce n'est pas la première campagne d'abuser non corrigée, sites basés sur CMS donc vulnérables. vulnérabilités CMS sont un facteur commun dans la plupart des attaques de logiciels malveillants succès. Par exemple, à 2016 les chercheurs ont constaté qu'un grand nombre de sociétés ont été en cours d'exécution sur les versions obsolètes de Drupal et WordPress.