Los sitios de WordPress están siendo pirateados para mostrar páginas fraudulentas de protección DDoS de Cloudflare que conducen a la entrega de malware como NetSupport RAT y Raccoon Stealer.
“Un aumento reciente en las inyecciones de JavaScript dirigidas a los sitios de WordPress ha resultado en avisos falsos de DDoS que impiden que las víctimas descarguen malware troyano de acceso remoto”, Ben Martin de Sucuri. dijo en un artículo publicado la semana pasada.
Las páginas de protección de denegación de servicio distribuida (DDoS) son comprobaciones esenciales de verificación del navegador diseñadas para impedir que el tráfico malicioso y no deseado impulsado por bot consuma ancho de banda y elimine sitios web.
El nuevo vector de ataque consiste en secuestrar sitios de WordPress para mostrar ventanas emergentes falsas de protección DDoS que, al hacer clic, conducen en última instancia a la descarga de un archivo ISO malicioso (“security_install.iso”) en los sistemas de la víctima.
Esto se logra mediante la inyección de tres líneas de código en un archivo JavaScript (“jquery.min.js”) o, alternativamente, en el archivo de tema activo del sitio web, que, a su vez, carga JavaScript muy ofuscado desde un servidor remoto.
“Este JavaScript luego se comunica con un segundo dominio malicioso que carga más JavaScript que inicia el mensaje de descarga del archivo .iso malicioso”, explicó Martin.
Después de la descarga, se solicita a los usuarios que ingresen un código de verificación generado desde la aplicación llamada “DDoS Guard” para atraer a la víctima a abrir el archivo de instalación armado y acceder al sitio web de destino.
Si bien el instalador muestra un código de verificación para mantener la artimaña, en realidad, el archivo es un troyano de acceso remoto llamado RATA de NetSupportque está vinculado a la familia de malware FakeUpdates (también conocido como SocGholish) y también instala de forma encubierta Raccoon Stealer, un troyano de robo de credenciales disponible para alquilar en foros clandestinos.
El desarrollo es una señal de que los atacantes están aprovechando de manera oportunista estos mecanismos de seguridad familiares en sus propias campañas en un intento por engañar a los visitantes del sitio web desprevenidos para que instalen malware.
Para mitigar tales amenazas, los propietarios de sitios web deben colocar sus sitios detrás de un firewall, emplear controles de integridad de archivos y hacer cumplir la autenticación de dos factores (2FA). También se insta a los visitantes del sitio web a activar 2FA, evitar abrir archivos sospechosos y usar un bloqueador de secuencias de comandos en los navegadores web para evitar la ejecución de JavaScript.
“La computadora infectada podría usarse para robar redes sociales o credenciales bancarias, detonar ransomware o incluso atrapar a la víctima en una red ‘esclava’ nefasta, extorsionar al propietario de la computadora y violar su privacidad, todo dependiendo de lo que decidan hacer los atacantes. con el dispositivo comprometido”, dijo Martin.
Esta no es la primera vez que se utilizan archivos con temas ISO y comprobaciones de CAPTCHA para entregar la RAT de NetSupport.
En abril de 2022, eSentire revelado una cadena de ataque que aprovechó un instalador falso de Chrome para implementar el troyano, lo que allanó el camino para la ejecución de Mars Stealer. Asimismo, una campaña de phishing con el tema del IRS detallada por Cofense y Tecnología global de Walmart Involucró el uso de rompecabezas CAPTCHA falsos en sitios web para entregar el mismo malware.