Hackere lurer brukere med falske meldinger om oppdateringer

En hvit hengelås på en mørk bakgrunn full av kode
(Foto: Shutterstock.com)

Nettkriminelle lurer ofre til å laste ned skadevare ved å påstå at nettleserne deres er utdaterte, og at de trenger en oppdatering for at man skal kunne se innholdet på siden ofrene besøker.

Sikkerhetsforskere fra Avast, Jan Rubin og Pavel Novak, avdekket en phishing-kampanje der en ukjent trusselaktør infiltrerte mer enn 16 000 WordPress- og Joomla-baserte nettsider, med svake brukernavn og passord.

Slike CMS-er kan brukes til alt fra pornografi, personlige hjemmesider, universitet-sider eller mindre sider på fylkes- eller kommunenivå.

Parrot TDS

Etter at tilgangen til disse sidene er sikret, setter angriperne normalt opp et såkalt Traffic Direction System (TDS). Et TDS er et slags portvoktersystem som sender brukere videre til forskjellig innhold, avhengig av visse parametre. Dette gjør at angriperne kan installere malware hos sluttbrukerne som blir ansett som gode mål (for eksempel de som har dårlige sikkerhetsløsninger eller som befinner seg på spesifikke steder i verden.)

TDS-et som nå herjer går under navnet Parrot TDS.

Alle som får beskjed om å «oppdatere» nettleseren, vil i realiteten bli servert en såkalt Remote Access-trojaner (RAT) ved navn NetSupport Manager. Denne programvaren gir full tilgang til sluttbrukerens maskin.

«TDS fungerer som en inngangsport i leveringen av forskjellig skadelig programvare via de infiserte sidene», sier Jan Rubin, malware-forsker hos Avast. «Akkurat nå distribueres ondsinnet programvare ved navn 'FakeUpdate' (også kjent som SocGholish) via Parrot TDS, men annen lignende programvare kan også komme i fremtiden via samme TDS.»

Rent bortsett fra at det er snakk om sider som baserer seg på WordPress og Joomla, har disse sidene svært lite til felles, hvilket er grunnen til at forskerne tror de ble valgt ut på grunn av dårlige passord.

«Det eneste fellestrekket mellom sidene er at de er WordPress-, og noen ganger Joomla-sider. Vi mistenker derfor at dårlige brukernavn og passord ble utnyttet for å infisere sidene med ondsinnet kode», sa Pavel Novak, ThreatOps-analytiker hos Avast. «At Parrot-TDS-et er såpass robust, og at det finnes så mange steder, gjør det unikt.»

John er utdannet innen elektronikk, film og journalistikk. Han skrev sitt første script på en HP Vectra (386) i en æra da det var kult å laste ned Sierra-spill fra BBS-er. John er teknologifiksert til tusen, men har en spesiell forkjærlighet for datamaskiner med overdådige skjermkort, kameraer og lydprodukter. Som norsk redaktør tar han seg av det meste som har å gjøre med den daglige driften av TechRadar.

Med bidrag fra