È stato scoperto un nuovo sistema di gestione del traffico dannoso (TDS), Parrot TDS, che ha infettato diversi server Web che ospitano più di 16.500 siti. I siti interessati includono pagine di contenuti per adulti, siti personali, universitari e governativi.
Il suo aspetto è stato modificato per visualizzare una pagina di phishing che afferma che l'utente deve aggiornare il proprio browser.
Quando un utente esegue il file di aggiornamento del browser offerto, viene scaricato uno strumento di accesso remoto (RAT), che offre agli aggressori l'accesso completo ai computer delle vittime.
«I sistemi di gestione del traffico fungono da gateway per la consegna di varie campagne dannose su siti infetti», ha affermato Jan Rubin, ricercatore di malware presso Avast, che ha identificato questo problema. «In questo momento, una campagna dannosa chiamata FakeUpdate (noto anche come SOCGHolish) viene distribuita tramite Parrot TDS, ma altre attività dannose potrebbero essere svolte in futuro tramite TDS.»
I ricercatori Jan Rubin e Pavel Novak ritengono che gli aggressori stiano sfruttando i server web di sistemi di gestione dei contenuti insicuri, come i siti WordPress e Joomla.
I criminali entrano in gioco nel momento in cui accedi ad account con credenziali deboli per ottenere l'accesso dell'amministratore ai server.
«L'unica cosa che i siti hanno in comune è che sono WordPress e, in alcuni casi, siti Joomla. Pertanto, sospettiamo che sfruttino credenziali di accesso deboli per infettare i siti con codice dannoso», ha affermato Pavel Novak, analista di ThreatOps di Avast. E ha aggiunto: «La robustezza di Parrot TDS e la sua grande portata lo rendono unico».
Parrot TDS consente agli aggressori di impostare parametri per visualizzare solo le pagine di phishing a potenziali vittime che soddisfano determinate condizioni, tenendo conto del tipo di browser dell'utente, dei cookie e del sito Web da cui provengono.
Cos'è la campagna FakeUpdate?
La campagna malevola di FakeUpdate utilizza JavaScript per modificare l'aspetto del sito e visualizzare messaggi di phishing in cui si afferma che l'utente deve aggiornare il proprio browser.
Come Parrot TDS, anche FakeUpdate esegue una scansione preliminare per raccogliere informazioni sul visitatore del sito prima di visualizzare il messaggio di phishing. Questo è un atto di difesa per determinare se visualizzare o meno il messaggio di phishing, tra le altre cose.
La scansione verifica quale prodotto antivirus è presente sul dispositivo. Il file offerto come aggiornamento è in realtà uno strumento di accesso remoto chiamato NetSupport Manager.
I criminali informatici dietro la campagna hanno configurato lo strumento in modo tale che l'utente abbia pochissime possibilità di notarlo. Se la vittima esegue il file, gli aggressori ottengono pieno accesso al proprio computer e possono modificare il carico utile consegnato alle vittime in qualsiasi momento.
Oltre alla campagna FakeUpdate, i ricercatori hanno esaminato altri siti di phishing ospitati sui siti Parrot TDS infetti, sebbene non possano collegarli in modo definitivo a quel sistema di gestione del traffico.
Come possono gli utenti evitare di diventare vittime del phishing:
1. Se il sito visitato ha un aspetto diverso dal previsto, i visitatori devono lasciare la pagina e non scaricare alcun file o inserire alcuna informazione.
2. Inoltre, gli aggiornamenti devono essere scaricati direttamente dalle impostazioni del browser, mai attraverso altri canali.
Come gli sviluppatori possono proteggere i server:
1. Sostituisci tutti i file JavaScript e PHP sul server web con file originali.
2. Utilizza l'ultima versione del sistema di gestione dei contenuti o del CMS.
3. Utilizza le ultime versioni dei componenti aggiuntivi installati.
4. Controlla se ci sono attività in esecuzione automaticamente sul server web.
5. Verifica e configura credenziali sicure e utilizza credenziali univoche per ogni servizio.
6. Controlla gli account amministratore sul server, assicurandoti che ogni account appartenga agli sviluppatori e abbia password complesse.
7. Se applicabile, configurare il secondo fattore di autenticazione per tutti gli account di amministratore del server Web.
8. Utilizza i componenti aggiuntivi di sicurezza disponibili.
9. Scansiona tutti i file sul server web con un programma antivirus.
CONTINUA A LEGGERE:
Más Noticias
Procuraduría abrió investigación al secretario TIC del Quindío por su presunta participación indebida en política: esta es la decisión
Se trata de Jhon Mario Liévano, que será indagado por parte del ente de control disciplinario por lo que sería su respaldo hacia un candidato a la Cámara de Representantes en el departamento, de acuerdo con la información recolectada por este organismo
Sporting Cristal vs Cusco FC EN VIVO HOY: minuto a minuto de la final vuelta de los playoffs de la Liga 1 2025
Los ‘celestes’ juegan con hasta cuatro atacantes en el Estadio Inca Garcilaso de la Vega. Los ‘dorados’ por su lado recuperaron a dos titulares. En la ida, los de Paulo Autuori ganaron 1-0. Sigue las incidencias del encuentro
Universitario vs Circolo EN VIVO HOY: punto a punto del duelo por la fecha 8 de la Liga Peruana de Vóley 2025/2026
Se juega el primer set. El equipo dirigido por Francisco Hervás buscará mantenerse en la senda triunfal ante un rival que siempre exige. Sigue las incidencias del encuentro
Tabla de posiciones de la Liga Peruana de Vóley 2025/26: así van los equipos en la fecha 8 de la primera fase
El Coliseo Miguel Grau del Callao alberga duelos de alto nivel este domingo 14. Sigue aquí cómo se mueve la clasificación tras cada encuentro de la jornada
Gripe H3N2: cuáles son los principales síntomas de este virus de la influenza
La gripe H3N2 es un tipo de influenza que suele provocar síntomas respiratorios de inicio brusco
