Hackere lurer brukere med falske meldinger om oppdateringer
Over 16 000 nettsider har blitt infisert
Nettkriminelle lurer ofre til å laste ned skadevare ved å påstå at nettleserne deres er utdaterte, og at de trenger en oppdatering for at man skal kunne se innholdet på siden ofrene besøker.
Sikkerhetsforskere fra Avast, Jan Rubin og Pavel Novak, avdekket en phishing-kampanje der en ukjent trusselaktør infiltrerte mer enn 16 000 WordPress- og Joomla-baserte nettsider, med svake brukernavn og passord.
Slike CMS-er kan brukes til alt fra pornografi, personlige hjemmesider, universitet-sider eller mindre sider på fylkes- eller kommunenivå.
Parrot TDS
Etter at tilgangen til disse sidene er sikret, setter angriperne normalt opp et såkalt Traffic Direction System (TDS). Et TDS er et slags portvoktersystem som sender brukere videre til forskjellig innhold, avhengig av visse parametre. Dette gjør at angriperne kan installere malware hos sluttbrukerne som blir ansett som gode mål (for eksempel de som har dårlige sikkerhetsløsninger eller som befinner seg på spesifikke steder i verden.)
TDS-et som nå herjer går under navnet Parrot TDS.
Alle som får beskjed om å «oppdatere» nettleseren, vil i realiteten bli servert en såkalt Remote Access-trojaner (RAT) ved navn NetSupport Manager. Denne programvaren gir full tilgang til sluttbrukerens maskin.
«TDS fungerer som en inngangsport i leveringen av forskjellig skadelig programvare via de infiserte sidene», sier Jan Rubin, malware-forsker hos Avast. «Akkurat nå distribueres ondsinnet programvare ved navn 'FakeUpdate' (også kjent som SocGholish) via Parrot TDS, men annen lignende programvare kan også komme i fremtiden via samme TDS.»
Rent bortsett fra at det er snakk om sider som baserer seg på WordPress og Joomla, har disse sidene svært lite til felles, hvilket er grunnen til at forskerne tror de ble valgt ut på grunn av dårlige passord.
«Det eneste fellestrekket mellom sidene er at de er WordPress-, og noen ganger Joomla-sider. Vi mistenker derfor at dårlige brukernavn og passord ble utnyttet for å infisere sidene med ondsinnet kode», sa Pavel Novak, ThreatOps-analytiker hos Avast. «At Parrot-TDS-et er såpass robust, og at det finnes så mange steder, gjør det unikt.»
Ønsker du flere Pro-nyheter? Abonner på vårt nyhetsbrev
Abonner på TechRadar Pro-nyhetsbrevet for å få spennende nyheter, kommentarer, reportasjer og innsikten bedriften din trenger for å lykkes!
John er utdannet innen elektronikk, film og journalistikk. Han skrev sitt første script på en HP Vectra (386) i en æra da det var kult å laste ned Sierra-spill fra BBS-er. John er teknologifiksert til tusen, men har en spesiell forkjærlighet for datamaskiner med overdådige skjermkort, kameraer og lydprodukter. Som norsk redaktør tar han seg av det meste som har å gjøre med den daglige driften av TechRadar.
iPhone 17 kan få en av de mest karakteristiske designdetaljene fra Pixel 9
Google og Samsung avduker headsettet Project Moohan med blandet virkelighet og Android XR – «den første plattformen genuint utviklet for Gemini-epoken»
Det ryktes enda en gang at iPhone SE 4 får en helt ny Apple-brikke for 5G og Wi-Fi