Cyberkriminella lurar offer att hämta och installera skadlig mjukvara genom att påstå att deras webbläsare är utdaterade och behöver uppdateras för att kunna visa innehållet på sidor.
Säkerhetsforskarna Jan Rubin och Pavel Novak hos Avast avslöjade en nätfiskeattack där en okänd angripare kom över inloggningsuppgifter till mer än 16 000 WordPress- och Joomla-sidor med svaga inloggningsuppgifter.
Detta innefattar såväl vuxensidor, personliga webbsidor, universitetssidor och mindre myndigheters webbsidor.
Parrot TDS
Efter att ha fått tillgång till sidan så sätter angriparen ofta upp en TDS, en slags vägvisare där användare hänvisas till olika innehåll beroende på vilka parametrar som skickas med. Detta tillåter angriparen att sätta upp skadlig mjukvara endast där det bedöms vara lämpligt, beroende på en rad olika faktorer.
De som får meddelandet om att "uppdatera" sin webbläsare får istället en trojan som tillåter fjärranslutning installerad, NetSupport Manager. Den ger angriparen full tillgång till målpunkten.
"TDS (Traffic Direction Systems) erbjuder en inkörsport för att leverera en rad olika former av skadlig mjukvara via de infekterade sidorna" säger Jan Rubin på Avast. "Just nu pågår en kampanj som kallas 'FakeUpdate' (även känd som SocGholish) via TDS, men även andra typer av skadlig mjukvara och nätfiskeattacker går att genomföra via denna typ av tjänst framöver."
Utöver att de drivs med antingen WordPress eller Joomla så har dessa webbsidor väldigt lite gemensamt, något som får säkerhetsforskarna att tro att de valts ut på grund av osäkra inloggningsuppgifter istället.
"Det enda dessa sidor har gemensamt är att det är WordPress och i vissa fall Joomla-sidor. Därför misstänker vi att osäkra inloggningsuppgifter har utnyttjas för att infektera sidorna med skadlig kod" säger Pavel Novak, analytiker på Avast. "Det finns en robusthet inom Parrot TDS och en enorm räckvidd som gör den unik."
