Hackere kaprer websteder for voksne for at inficere besøgende med malware

Nyheder
Af Vivi Knudsen
Med bidrag fra
Sead Fadilpašić
 Publiceret

Mere end 16.000 websteder er berørte

En hvid hængelås på en mørk digital baggrund.
(Foto: Shutterstock.com)

Cyberkriminelle narrer ofre til at downloade malware ved at fortælle de besøgende, at deres browsere er forældede og skal opdateres for at se indholdet på siden. 

Sikkerhedseksperter Jan Rubin og Pavel Novak fra Avast afslørede en phishing-kampagne, hvor en ukendt trusselsaktør kompromitterede mere end 16.000 WordPress- og Joomla-hostede websteder med svage loginoplysninger. 

Det gælder bl.a. websteder med voksenindhold, personlige websteder, universitetswebsteder og lokale myndigheders websteder.

Parrot TDS

Når hackere har fået adgang til disse websteder, opretter de som regel et såkaldt TDS-netværk (Traffic Direction System), som i dette tilfælde kaldes Parrot TDS. Et TDS-system er en slags webbaseret gateway, der videresender brugere til forskelligt indhold afhængigt af bestemte parametre. På den måde kan de cyberkriminelle implementere malware på de slutpunkter, de anser for at være gode mål. Det kan fx være dem med dårlige sikkerhedsløsninger eller specifikke geografiske placeringer. 

Personer, som modtager beskeden om at "opdatere" deres browser, får i stedet serveret en RAT (trojansk hest med fjernadgang) kaldet NetSupport Manager, som giver hackere fuld adgang til slutbrugerens computer.

"TDS fungerer som en gateway, der kan levere forskelligt ondsindede software via de inficerede websteder," fortæller Jan Rubin, som er malware-forsker hos Avast. "I øjeblikket distribueres en ondsindet software kaldet 'FakeUpdate' (også kendt som SocGholish) via Parrot TDS, men der kan komme andre ondsindede aktiviteter via samme TDS i fremtiden."

Læs også

> Ny rapport: Danskerne benytter samme password til alt

> Facebook og Apple snydt til at udlevere kundedata til hackere

> Din HP-printer kan blive udsat for cyberangreb

Udover at alle webstederne er drevet af enten WordPress eller Joomla, har de meget lidt til fælles, og derfor mener eksperterne, at de blev udvalgt på grund af svage adgangskoder. 

“Det eneste, siderne har til fælles, er, at de er WordPress og i nogle tilfælde Joomla-sider. Vi har derfor mistanke om, at svage loginoplysninger blev udnyttet til at inficere webstederne med ondsindet kode,” siger Pavel Novak, ThreatOps-analytiker hos Avast. "Parrot TDS er robust og enormt udbredt, og det er det, der gør den så unik."

Vivi Knudsen

Vivi har flere års erfaring inden for en bred vifte af emner og arbejdet for højt profilerede virksomheder i bl.a. tech-branchen med fokus på nyheder, anmeldelser, guides og idéer til problemløsninger. Hun elsker at være i stand til at hjælpe folk med at finde måder og produkter, der gør livet lidt lettere i hverdagen. Vivi har arbejdet det meste af sit liv i musik- og underholdningsbranchen. Hun har stor passion for alt, hvad der har med musik og film at gøre, og streaming ligger højt på listen over hendes interesser.

Med bidrag fra