Cyberkriminelle narrer ofre til at downloade malware (Åbner i nyt vindue) ved at fortælle de besøgende, at deres browsere er forældede og skal opdateres for at se indholdet på siden.
Sikkerhedseksperter Jan Rubin og Pavel Novak fra Avast afslørede en phishing-kampagne, hvor en ukendt trusselsaktør kompromitterede mere end 16.000 WordPress- og Joomla-hostede (Åbner i nyt vindue)websteder med svage loginoplysninger.
Det gælder bl.a. websteder med voksenindhold, personlige websteder, universitetswebsteder og lokale myndigheders websteder.
Parrot TDS
Når hackere har fået adgang til disse websteder, opretter de som regel et såkaldt TDS-netværk (Traffic Direction System), som i dette tilfælde kaldes Parrot TDS. Et TDS-system er en slags webbaseret gateway, der videresender brugere til forskelligt indhold afhængigt af bestemte parametre. På den måde kan de cyberkriminelle implementere malware på de slutpunkter, de anser for at være gode mål. Det kan fx være dem med dårlige sikkerhedsløsninger eller specifikke geografiske placeringer.
Personer, som modtager beskeden om at "opdatere" deres browser, får i stedet serveret en RAT (trojansk hest med fjernadgang) kaldet NetSupport Manager, som giver hackere fuld adgang til slutbrugerens computer.
"TDS fungerer som en gateway, der kan levere forskelligt ondsindede software via de inficerede websteder," fortæller Jan Rubin, som er malware-forsker hos Avast. "I øjeblikket distribueres en ondsindet software kaldet 'FakeUpdate' (også kendt som SocGholish) via Parrot TDS, men der kan komme andre ondsindede aktiviteter via samme TDS i fremtiden."
> Ny rapport: Danskerne benytter samme password til alt (Åbner i nyt vindue)
> Facebook og Apple snydt til at udlevere kundedata til hackere (Åbner i nyt vindue)
> Din HP-printer kan blive udsat for cyberangreb (Åbner i nyt vindue)
Udover at alle webstederne er drevet af enten WordPress eller Joomla, har de meget lidt til fælles, og derfor mener eksperterne, at de blev udvalgt på grund af svage adgangskoder.
“Det eneste, siderne har til fælles, er, at de er WordPress og i nogle tilfælde Joomla-sider. Vi har derfor mistanke om, at svage loginoplysninger blev udnyttet til at inficere webstederne med ondsindet kode,” siger Pavel Novak, ThreatOps-analytiker hos Avast. "Parrot TDS er robust og enormt udbredt, og det er det, der gør den så unik."
- Se de bedste antivirus-programmer i 2022 (Åbner i nyt vindue)