مجرمان سایبری قربانیان خود را فریب میدهند تا بدافزارها را دانلود کنند. این بدافزارها به آنها میگوید که مرورگرهای آنها قدیمی است و برای مشاهدهی محتویات صفحه، نیاز دارند تا مروگر خود را بهروزرسانی کنند.
جان روبین و پاول نواک، محققین امنیت سایبری نرمافزار Avast، کمپین فیشینگی را کشف کردهاند که در آن عاملی که تهدیدکنندهی ناشناس بوده است، بیش از 16000 وبسایت وردپرس را با اعتبار ورود ضغیف به خطر انداختهاند.
این وبسایتها، معمولاََ سایتهایی هستند که مربوط به محتوای بزرگسالان، محتوای وبسایتهای شخصی، سایتهای دانشگاهی و صفحات دولتی محلی میشوند.
پس از دسترسی به ان سایتها، مهاجمان معمولاََ سیستم هدایت ترافیک (TDS) و طوطی TDS را راهاندازی میکنند. TDS دروازهای مبتنی بر وی است که باتوجه به پارامترهایی خاص، کاربران را به محتواهای متفاوت هدایت میکند. این به مهاجمان اجازه میدهد تا بدافزارها را فقط در نقاط پایانی که بهعنوان هدف خوبی در نظر گرفته میشوند، همانند اقدامات امنیتی ضعیف سایبری و یا مکانهای جغرافیایی خاص، استقرار دهند.
کسانی که پیام “بهروزرسانی” مرورگر خود را دریافت میکنند، در حقیقت RATای از راه دور بهنام NetSupport را دریافت میکنند. دسترسی کامل به نقطهی پایانی، هدف را برای مهاجم فراهم میکند.
جان روبین، محقق بدافزار در Avast میگوید:
سیستمهای هدایت ترافیک بهعنوان دروازهای برای ارسال کمپینهای مخرب متفاوت از طریق سیاستهایی که آلوده هستند، عمل میکنند. در حال حاضر، کمپینی مخرب بهنام FakeUpdate که بهعنوان SocGholish نیز شناخته میشود، از طریق Parrot TDS در حال توزی شدن است، اما سایر فعالیتهای مخرب این کمپین میتواند در آینده از طریق TDS انجام شود.
این وبسایتها، علاوهبر اینکه از وردپرس و یا جوملا پشتیبانی میکنند، اشتراکات بسیار کمی دارند. به همین دلیل است که محققان در مورد این موضوع معتقدند که آنها برای رمزعبورهای ضعیف خود انتخاب شدهاند.
تنها وجه اشتراکی که میان این سایتها وجود دارد، این است که برخی از آنها وردپرس و برخی از آنها جوملا هستند. پاول نواک، تحلیلگر ThreatOps در Avast دراینباره میگوید:
بنابراین ما گمان میکنیم که از اعتبارنامههای ضعیف ورود برای الوده کردن سایتها با کدهایی که مخرب هستند، سوءاستفاده شده است. استحکام Parrot TDS و گسترده شدن وسیع آن، آن را منحربهفرد کرده است.