Plus de 16 000 pages de contenu sexuel, d'éducation et de gouvernement ont été victimes de pirates

Un nouveau Traffic Direction System (TDS) malveillant, Parrot TDS, a été découvert et a infecté plusieurs serveurs web hébergeant plus de 16 500 sites . Les sites Web concernés comprennent les pages de contenu pour adultes, les sites personnels, universitaires et gouvernementaux.

Son apparence est modifiée pour afficher une page de phishing prétendant que l'utilisateur doit mettre à jour son navigateur.

Lorsqu'un utilisateur exécute le fichier de mise à jour du navigateur proposé, un outil d'accès à distance (RAT) est téléchargé, donnant aux attaquants un accès complet aux ordinateurs des victimes.

"Les systèmes de pilotage du trafic servent de passerelle pour la diffusion de diverses campagnes malveillantes via des sites infectés", a déclaré Jan Rubin, Malware Researcher chez Avast, qui a identifié ce problème. " Une campagne malveillante appelée FakeUpdate (également connue sous le nom de SocGholish) est actuellement distribuée via Parrot TDS , mais d'autres activités malveillantes pourraient être menées via TDS à l'avenir."

Les chercheurs Jan Rubin et Pavel Novak pensent que les attaquants exploitent les serveurs Web de systèmes de gestion de contenu non sécurisés, tels que les sites WordPress et Joomla.

Les criminels entrent en action lorsque des comptes avec des informations d'identification faibles sont connectés pour obtenir un accès administrateur aux serveurs.

“ La seule chose que les sites ont en commun, c'est qu'ils sont des sites WordPress et, dans certains cas, des sites Joomla. Par conséquent, nous soupçonnons qu'ils profitent d'identifiants de connexion faibles pour infecter des sites avec du code malveillant », a déclaré Pavel Novak, analyste ThreatOps chez Avast. Et d'ajouter : « La robustesse du Parrot TDS et sa grande autonomie le rendent unique ».

Parrot TDS permet aux attaquants de définir des paramètres pour afficher uniquement les pages de phishing aux victimes potentielles qui remplissent certaines conditions, en tenant compte du type de navigateur des utilisateurs, des cookies et du site Web d'où ils viennent.

En quoi consiste la campagne FakeUpdate

La campagne malveillante FakeUpdate utilise JavaScript pour modifier l'apparence du site et afficher des messages de phishing prétendant que l'utilisateur doit mettre à jour son navigateur .

Comme Parrot TDS, FakeUpdate effectue également une analyse préliminaire pour collecter des informations sur le visiteur du site avant d'afficher le message de phishing. Il s'agit d'un acte de défense pour déterminer entre autres l'affichage ou non du message d'hameçonnage.

L'analyse vérifie quel produit antivirus se trouve sur l'appareil. Le fichier proposé en tant que mise à jour est en fait un outil d'accès à distance appelé NetSupport Manager.

Les cybercriminels à l'origine de la campagne ont configuré l'outil de telle manière que l'utilisateur a très peu de chances de le remarquer . Si la victime exécute le fichier, les attaquants obtiennent un accès complet à leur ordinateur et peuvent modifier la charge utile fournie aux victimes à tout moment.

En plus de la campagne FakeUpdate, les chercheurs ont examiné d'autres sites de phishing hébergés sur les sites infectés de Parrot TDS, bien qu'ils ne puissent pas les lier de manière concluante à ce système de direction du trafic.

Comment les utilisateurs peuvent éviter d'être victimes de phishing :

1. Si le site visité semble différent de celui attendu, les visiteurs doivent quitter la page et ne pas télécharger de fichiers ni saisir d'informations.

2. En outre, les mises à jour doivent être téléchargées directement à partir des paramètres du navigateur, jamais via d'autres canaux.

Comment les développeurs peuvent protéger les serveurs :

1. Remplacez tous les fichiers JavaScript et PHP sur le serveur Web par les fichiers d'origine.

2. Utilisez la dernière version du système de gestion de contenu ou du CMS.

3. Utilisez les dernières versions des plugins installés.

4. Vérifiez si des tâches s'exécutent automatiquement sur le serveur Web.

5. Vérifiez et configurez les informations d'identification sécurisées et utilisez des informations d'identification uniques pour chaque service.

6. Vérifiez les comptes administrateur sur le serveur, en vous assurant que chacun d'eux appartient à des développeurs et possède des mots de passe forts.

7. Le cas échéant, configurez l'authentification à deux facteurs pour tous les comptes d'administrateur de serveur Web.

8. Utilisez les plugins de sécurité disponibles.

9. Analysez tous les fichiers sur le serveur Web avec un programme antivirus.

CONTINUER À LIRE: