Nettkriminelle lurer ofre til å laste ned skadevare ved å påstå at nettleserne deres er utdaterte, og at de trenger en oppdatering for at man skal kunne se innholdet på siden ofrene besøker.
Sikkerhetsforskere fra Avast, Jan Rubin og Pavel Novak, avdekket en phishing-kampanje der en ukjent trusselaktør infiltrerte mer enn 16 000 WordPress- og Joomla-baserte nettsider, med svake brukernavn og passord.
Slike CMS-er kan brukes til alt fra pornografi, personlige hjemmesider, universitet-sider eller mindre sider på fylkes- eller kommunenivå.
Parrot TDS
«TDS fungerer som en inngangsport i leveringen av forskjellig skadelig programvare via de infiserte sidene», sier Jan Rubin, malware-forsker hos Avast. «Akkurat nå distribueres ondsinnet programvare ved navn 'FakeUpdate' (også kjent som SocGholish) via Parrot TDS, men annen lignende programvare kan også komme i fremtiden via samme TDS.»
Rent bortsett fra at det er snakk om sider som baserer seg på WordPress og Joomla, har disse sidene svært lite til felles, hvilket er grunnen til at forskerne tror de ble valgt ut på grunn av dårlige passord.
«Det eneste fellestrekket mellom sidene er at de er WordPress-, og noen ganger Joomla-sider. Vi mistenker derfor at dårlige brukernavn og passord ble utnyttet for å infisere sidene med ondsinnet kode», sa Pavel Novak, ThreatOps-analytiker hos Avast. «At Parrot-TDS-et er såpass robust, og at det finnes så mange steder, gjør det unikt.»
