Была обнаружена новая вредоносная система управления трафиком (TDS) Parrot TDS, которая заразила несколько веб-серверов, на которых размещено более 16 500 сайтов. К затронутым веб-сайтам относятся страницы контента для взрослых, личные, университетские и правительственные сайты.
Его внешний вид изменен, чтобы отобразить фишинговую страницу, в которой утверждается, что пользователю необходимо обновить свой браузер.
Когда пользователь запускает предлагаемый файл обновления браузера, загружается средство удаленного доступа (RAT), которое дает злоумышленникам полный доступ к компьютерам жертв.
«Системы управления трафиком служат шлюзом для проведения различных вредоносных кампаний на зараженных сайтах», — говорит Ян Рубин, исследователь вредоносных программ в Avast, который выявил эту проблему. «В настоящее время вредоносная кампания под названием FakeUpdate (также известная как SocgHolish) распространяется через Parrot TDS, но другие вредоносные действия могут осуществляться в будущем через TDS».
Исследователи Ян Рубин и Павел Новак считают, что злоумышленники используют веб-серверы небезопасных систем управления контентом, таких как сайты WordPress и Joomla.
Преступники начинают действовать в тот момент, когда вы входите в учетные записи со слабыми учетными данными, чтобы получить доступ администратора к серверам.
«Единственное, что объединяет сайты, это WordPress и, в некоторых случаях, сайты Joomla. Поэтому мы подозреваем, что они используют слабые учетные данные для входа в систему для заражения сайтов вредоносным кодом», — говорит Павел Новак, аналитик ThreatOps в Avast. Он добавил: «Надежность Parrot TDS и его большой охват делают его уникальным».
Parrot TDS позволяет злоумышленникам устанавливать параметры для отображения фишинговых страниц только потенциальным жертвам, которые отвечают определенным условиям, с учетом типа браузера пользователя, файлов cookie и веб-сайта, с которого они приходят.
О чем идет речь в кампании FakeUpdate
Вредоносная кампания FakeUpdate использует JavaScript для изменения внешнего вида сайта и отображения фишинговых сообщений, утверждающих, что пользователю необходимо обновить свой браузер.
Как и Parrot TDS, FakeUpdate также выполняет предварительное сканирование для сбора информации о посетителе сайта перед отображением фишингового сообщения. Это защита, позволяющая определить, следует ли отображать фишинговое сообщение, среди прочего.
Сканирование проверяет, какой антивирусный продукт установлен на устройстве. Файл, предлагаемый в качестве обновления, на самом деле представляет собой средство удаленного доступа под названием NetSupport Manager.
Киберпреступники, стоящие за кампанией, настроили инструмент таким образом, что у пользователя очень мало шансов его заметить. Если жертва запускает файл, злоумышленники получают полный доступ к своему компьютеру и могут изменить полезную нагрузку, доставленную жертвам в любое время.
В дополнение к кампании FakeUpdate исследователи изучили другие фишинговые сайты, размещенные на зараженных сайтах Parrot TDS, хотя они не могут окончательно связать их с этой системой управления трафиком.
Как пользователи могут не стать жертвами фишинга:
1. Если посещаемый сайт выглядит иначе, чем ожидалось, посетителям следует покинуть страницу, не загружая никаких файлов и не вводя какую-либо информацию.
2. Кроме того, обновления необходимо загружать непосредственно из настроек браузера, а не через другие каналы.
Как разработчики могут защитить серверы:
1. Замените все файлы JavaScript и PHP на веб-сервере оригинальными файлами.
2. Используйте последнюю версию системы управления контентом или CMS.
3. Используйте последние версии установленных надстроек.
4. Проверьте, есть ли задачи, выполняемые автоматически на веб-сервере.
5. Проверяйте и настраивайте безопасные учетные данные и используйте уникальные учетные данные для каждой службы.
6. Проверьте учетные записи администратора на сервере, убедитесь, что каждая учетная запись принадлежит разработчикам и имеет надежные пароли.
7. При необходимости настройте второй фактор аутентификации для всех учетных записей администратора веб-сервера.
8. Используйте доступные надстройки безопасности.
9. Сканируйте все файлы на веб-сервере с помощью антивирусной программы.
ПРОДОЛЖАЙТЕ ЧИТАТЬ:
Más Noticias
Balas del atentado contra Miguel Uribe Turbay fueron modificadas, este es el material de los proyectiles
Además de la captura de un cuarto involucrado en el crimen, las autoridades siguen exponiendo novedades de la investigación del caso
Boragó, el único restaurante chileno entre los mejores del mundo en The World’s 50 Best Restaurants 2025
En el primer puesto del certamen se lo llevó Maido de Perú. La oferta gastronómica de Boragó se centra en el uso de productos autóctonos y métodos tradicionales de preparación, combinando lo ancestral con lo contemporáneo en cada plato
Se recrudece caída de la BMV y cierra el día en rojo
El principal índice de referencia del mercado nacional retrocedió más de un punto porcentual
Desde Bad Bunny hasta Robert De Niro: las celebridades que visitaron Maido, elegido el mejor restaurante del mundo en The World’s 50 Best Restaurants 2025
Micha no solo obtuvo el mayor reconocimiento gastronómico del mundo. También protagonizó historias contadas en Instagram, YouTube y TikTok por quienes vivieron su menú: desde Bad Bunny hasta comensales que grabaron su paso plato por plato
Perú domina la gastronomía mundial: Maido y Central, los restaurantes locales que han sido elegidos los mejores del globo
En la ceremonia de The World’s 50 Best Restaurants este 19 de junio reconoció a Maido, el restaurante de Mitsuharu’ Micha’ Tsumura, como el mejor de todo el planeta
