Foi descoberto um novo sistema de gerenciamento de tráfego malicioso (TDS), o Parrot TDS, que infectou vários servidores web que hospedam mais de 16.500 sites. Os sites afetados incluem páginas de conteúdo adulto, sites pessoais, universitários e governamentais.
Sua aparência é modificada para exibir uma página de phishing que afirma que o usuário precisa atualizar seu navegador.
Quando um usuário executa o arquivo de atualização do navegador oferecido, uma Ferramenta de Acesso Remoto (RAT) é baixada, o que dá aos invasores acesso total aos computadores das vítimas.
“Os sistemas de gerenciamento de tráfego servem como uma porta de entrada para a entrega de várias campanhas maliciosas em sites infectados”, disse Jan Rubin, pesquisador de malware da Avast, que identificou esse problema. “Neste momento, uma campanha maliciosa chamada FakeUpdate (também conhecida como SocGholish) está sendo distribuída através do Parrot TDS, mas outras atividades maliciosas podem ser realizadas no futuro por meio do TDS.”
Os pesquisadores Jan Rubin e Pavel Novak acreditam que os invasores estão explorando os servidores web de sistemas de gerenciamento de conteúdo inseguros, como sites WordPress e Joomla.
Os criminosos entram em ação no momento em que você faz login em contas com credenciais fracas para obter acesso de administrador aos servidores.
“A única coisa que os sites têm em comum é que eles são WordPress e, em alguns casos, sites Joomla. Portanto, suspeitamos que eles se aproveitem de credenciais de login fracas para infectar sites com código malicioso”, disse Pavel Novak, analista do ThreatOps da Avast. Ele acrescentou: “A robustez do Parrot TDS e seu grande alcance o tornam único”.
O Parrot TDS permite que os invasores definam parâmetros para exibir apenas páginas de phishing para vítimas em potencial que atendam a determinadas condições, levando em consideração o tipo de navegador do usuário, os cookies e o site de origem.
Sobre o que é a campanha FakeUpdate
A campanha maliciosa do FakeUpdate usa JavaScript para alterar a aparência do site e exibir mensagens de phishing alegando que o usuário precisa atualizar seu navegador.
Assim como o Parrot TDS, o FakeUpdate também realiza uma verificação preliminar para coletar informações sobre o visitante do site antes de exibir a mensagem de phishing. Este é um ato de defesa para determinar se deve ou não exibir a mensagem de phishing, entre outras coisas.
A verificação verifica qual produto antivírus está no dispositivo. O arquivo oferecido como atualização é, na verdade, uma ferramenta de acesso remoto chamada NetSupport Manager.
Os cibercriminosos por trás da campanha configuraram a ferramenta de tal forma que o usuário tem muito poucas chances de perceber. Se a vítima executar o arquivo, os invasores obtêm acesso total ao computador e podem alterar a carga entregue às vítimas a qualquer momento.
Além da campanha FakeUpdate, os pesquisadores analisaram outros sites de phishing hospedados nos sites infectados do Parrot TDS, embora não possam vinculá-los conclusivamente a esse sistema de gerenciamento de tráfego.
Como os usuários podem evitar ser vítimas de phishing:
1. Se o site que está sendo visitado parecer diferente do esperado, os visitantes devem sair da página e não baixar nenhum arquivo ou inserir nenhuma informação.
2. Além disso, as atualizações devem ser baixadas diretamente das configurações do navegador, nunca através de outros canais.
Como os desenvolvedores podem proteger os servidores:
1. Substitua todos os arquivos JavaScript e PHP no servidor web pelos arquivos originais.
2. Use a versão mais recente do sistema de gerenciamento de conteúdo ou CMS.
3. Use as versões mais recentes dos complementos instalados.
4. Verifique se há tarefas sendo executadas automaticamente no servidor web.
5. Verifique e configure credenciais seguras e use credenciais exclusivas para cada serviço.
6. Verifique as contas de administrador no servidor, garantindo que cada conta pertença aos desenvolvedores e tenha senhas fortes.
7. Quando aplicável, configure o segundo fator de autenticação para todas as contas de administrador do servidor web.
8. Use os complementos de segurança disponíveis.
9. Verifique todos os arquivos no servidor da web com um programa antivírus.
CONTINUE LENDO:
Más Noticias
Los números que dieron fortuna a los nuevos ganadores de Super Once
Con las loterías de Juegos Once no sólo tienes la posibilidad de ganar millones de euros en premios, sino que parte del dinero recaudado va para beneficios sociales
¿Cómo iniciar estudios universitarios en Lima y finalizarlos en el Reino Unido?
La Universidad Peruana de Ciencias Aplicadas (UPC) anunció una alianza estratégica con NCUK (Northern Consortium of UK Universities) y la University of Leeds
Vicky Dávila cuestionó a Gustavo Petro por anunciar que se acaba el TLC con Israel: “Expropiación”
El mandatario colombiano afirmó en el Consejo de Ministros que las empresas carboníferas deben cumplir las disposiciones sobre el TLC con Israel o vender sus concesiones
El misterio detrás de las 3.700 hectáreas de la Hacienda Nápoles que nadie ha logrado explicar en más de dos décadas, según la ANT
Una investigación oficial busca respuestas sobre el destino de la mayor parte de la emblemática propiedad que perteneció a Pablo Escobar
Reaparecen los “empujadores” en el Metro de Madrid: la saturación en hora punta desata la furia en redes y da paso a un nuevo choque político
El dispositivo especial de Metro de Madrid no frena la indignación por la saturación mientras los representantes de los partidos de la capital se enredan en críticas cruzadas
