Kyberrikolliset ovat onnistuneet tekemään laajan hyökkäyksen, jossa nämä ovat saaneet käyttäjät lataamaan haittaohjelmia näiden saatuaan viestin vanhentuneesta selaimesta ja sen päivityksestä päästäkseen katsomaan verkkosivun sisältöä.
Avast-tutkijat Jan Rubin ja Pavel Novak ovat löytäneet laajan kalastuskampanjan, jossa tuntematon uhkatekijä on onnistunut pääsemään käsiksi yli 16 000 WordPressin ja Joomlan isännöimään verkkosivuun, jotka käyttävät heikkoa sisäänkirjautumisvaatimuksia.
Tällaisia sivuja ovat usein pornosivut, käyttäjien henkilökohtaiset verkkosivut, yliopistojen kotisivut ja paikallisten hallitusten kotisivut.
- Olemme valinneet parhaat virustorjuntaohjelmat
- Näiden VPN-palvelujen avulla voit suojata internet-liikenteesi
Parrot TDS
Saatuaan pääsyn näille sivuilla hyökkääjät ovat asentaneet Traffic Direction System (TDS) -järjestelmän, Parrot TDS:n. TDS on selainpohjainen portti, joka ohjaa käyttäjät uusiksi erilaisen sisällön pariin riippuen näille asetetusta parametristä. Tämän avulla hyökkääjät ovat voineet asentaa haittaohjelman sellaisiin päätepisteisiin, jotka on todettu hyviksi kohteiksi. Näitä ovat olleet sivut, joissa on heikot suojausjärjestelmät tai jotka ovat sijainneet tietyillä alueella.
"Päivitysviestin"-saaneet käyttäjät on sen jälkeen ohjattu Remote Access Trojan (RAT) -ohjelma NetSupport Manageriin. Tämän avulla hyökkääjät ovat saaneet täyden pääsyn päätepisteessä olevasta kohteesta.
"Traffic Direction Systems -järjestelmät toimivat jakeluvälinä useille eri haittaohjelmakampanjoille saastuneiden sivujen kautta", Avastin haittaohjelmatutkija Jan Rubin sanoi. "Tällä hetkellä 'FakeUpdate'-nimistä (tunnetaan myös nimellä SocGholish) kampanjaa jaetaan Parrot TDS:n kautta. Tätä kautta voidaan myöhemmin jakaa myös muunlaisia haittaohjelmia."
WordPress- tai Joomla-isännöinnin lisäksi kohteeksi joutuneilla verkkosivuilla on keskenään hyvin vähän yhteistä. Tämän vuoksi tutkijat ovat uskoneet valintaperusteiden olleen niiden käyttämä heikko salasana.
"Ainoa yhdistävä tekijä sivuilla on WordPressin tai joissain tapauksissa Joomlan käyttö webhotellina. Siten epäilemme taustalla olleen huono suojaus, jota on hyödynnetty levittääkseen haitallista koodia", Avastin ThreatOps-analyytikko Pavel Novak sanoi. "Parrot TDS:n laajuus ja valtava ulottuvuus tekee tästä tapauksesta uniikin."
