Les cybercriminels incitent les victimes à télécharger des logiciels malveillants (s’ouvre dans un nouvel onglet) en leur disant que leurs navigateurs sont obsolètes et doivent être mis à jour pour afficher le contenu de la page.
Les chercheurs en cybersécurité d’Avast, Jan Rubin et Pavel Novak, ont découvert une campagne de phishing dans laquelle un acteur malveillant inconnu a compromis plus de 16 000 sites WordPress et Joomla hébergés. (s’ouvre dans un nouvel onglet)sites Web avec des identifiants de connexion faibles.
Il s’agit généralement de sites Web de contenu pour adultes, de sites Web personnels, de sites universitaires et de pages de gouvernements locaux.
Perroquet TDS
Après avoir accédé à ces sites, les attaquants mettaient généralement en place un Traffic Direction System (TDS), Parrot TDS. Un TDS est un portail Web qui redirige les utilisateurs vers divers contenus, en fonction de certains paramètres. Cela permet aux attaquants de déployer des logiciels malveillants uniquement sur les terminaux (s’ouvre dans un nouvel onglet) qui sont considérés comme une bonne cible (mauvaises mesures de cybersécurité, par exemple, ou emplacements géographiques spécifiques).
Ceux qui reçoivent le message de « mettre à jour » leur navigateur recevront en fait un cheval de Troie d’accès à distance (RAT) appelé NetSupport Manager. Il fournit à l’attaquant un accès complet au point de terminaison cible.
« Les systèmes de direction du trafic servent de passerelle pour la diffusion de diverses campagnes malveillantes via les sites infectés », a déclaré Jan Rubin, chercheur sur les logiciels malveillants chez Avast. « Pour le moment, une campagne malveillante appelée » FakeUpdate « (également connue sous le nom de SocGholish) est distribuée via Parrot TDS, mais d’autres activités malveillantes pourraient être effectuées à l’avenir via le TDS. »
En plus d’être alimentés par WordPress ou Joomla, ces sites Web ont très peu en commun, c’est pourquoi les chercheurs pensent qu’ils ont été choisis pour leurs mots de passe faibles.
« La seule chose que les sites ont en commun, c’est qu’ils sont WordPress et dans certains cas des sites Joomla. Nous soupçonnons donc que des identifiants de connexion faibles ont été exploités pour infecter les sites avec du code malveillant », a déclaré Pavel Novak, analyste ThreatOps chez Avast. « La robustesse de Parrot TDS et sa grande portée le rendent unique.