Een nieuwe malware campagne is ontdekt gebruik te maken van een toenemend aantal legitieme, maar besmette websites. De schadelijke werking is gebouwd op social engineering trucs waarbij gebruikers wordt gevraagd met nep, maar authentieke updatemeldingen, onderzoekers rapporteerden.
Fake bijwerken Techniek succesvol Tricks Gebruikers
De vroegste rekeningen van deze campagne zijn vanaf december vorig jaar, toen BroadAnalysis geanalyseerd met een script gedownload van DropBox.
De huidige campagne van invloed is op verschillende Content Management Systemen zoals WordPress en Joomla. Volgens security-onderzoeker Jerome Segura, een aantal van de getroffen websites waren out-of-date en waren gevoelig voor kwaadaardige code injectie. De onderzoeker is van mening dat de aanvallers gebruikt deze techniek om een inventarisatie van gecompromitteerde sites te ontwikkelen. Echter, deze theorie is nog niet bevestigd.
WordPress en Joomla websites werden beide gehackt met behulp van injectie in JavaScript-bestanden van hun systemen. Een deel van de geïnjecteerde bestanden hebben de jquery.js en caption.js bibliotheken waarbij code meestal wordt toegevoegd en kan door het te vergelijken met een schone kopie van hetzelfde bestand worden herkend.
Behulp van een speciaal ontworpen crawler, onderzoekers waren in staat om een aantal van gecompromitteerde WordPress en Joomla websites te lokaliseren. Ook al is er geen exacte aantal van de geïnfecteerde websites, het is zeer waarschijnlijk in de duizenden.
Naast Joomla en WordPress, een ander content management systeem werd ook beïnvloed - Squarespace. Een gebruiker Squarespace gerapporteerd dat hij doorgestuurd naar een volledige pagina te zeggen dat “uw versie van Chrome moet worden bijgewerkt".
Hoe wordt de infectie uitgevoerd? De getroffen CMS websites bleken te redirection URL's met vergelijkbare patronen triggeren, eindigend met het laden van de specifieke nep-update. Onderzoekers zeggen dat er verschillende URL's voor elke getroffen CMS.
Wat nep-updates zijn gebruikt? Frauduleuze browser updates zijn bedoeld voor de Chrome en Firefox browsers, en Internet Explorer is gericht via een nep-update voor Flash Player.
Wat is de lading van de kwaadaardige campagne?
De onderzoekers waren in staat om te bepalen dat een van de nuttige ladingen gedaald is de Chtonic banking malware, een variant van ZeusVM. Een andere reden is de NetSupport RAT.
Dit is niet de eerste campagne te misbruiken ongepatchte, dus kwetsbaar CMS-gebaseerde websites. CMS kwetsbaarheden zijn een gemeenschappelijke factor in veel van de succesvolle malware-aanvallen. Bijvoorbeeld, in 2016 vonden de onderzoekers dat een groot aantal bedrijven liepen op verouderde versies van Drupal en WordPress.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: