Hackers estão promovendo a distribuição de malware perigoso por meio de sites WordPress por meio de páginas falsas de proteção contra negação de serviço (DDoS) distribuída da Cloudflare, descobriu um novo relatório.
Conforme relatado pela PCMag e Bleeping Computer, sites baseados no formato WordPress estão sendo invadidos por agentes de ameaças, com o NetSupport RAT e um trojan de roubo de senha (RaccoonStealer) sendo instalado se as vítimas caírem no truque.
A empresa de segurança cibernética Sucuri detalhou como os hackers estão violando sites WordPress que não têm uma base de segurança forte para implementar cargas úteis de JavaScript, que por sua vez exibem alertas DDoS falsos de proteção Cloudflare.
Quando alguém visita um desses sites comprometidos, ele os direciona para clicar fisicamente em um botão para confirmar a verificação de proteção contra DDoS. Essa ação levará ao download de um arquivo ‘security_install.iso’ para o sistema.
A partir daqui, as instruções pedem que o indivíduo abra o arquivo infectado disfarçado de um programa chamado DDOS GUARD, além de inserir um código.
Outro arquivo, security_install.exe, também está presente — um atalho do Windows que executa um comando do PowerShell por meio do arquivo debug.txt. Uma vez que o arquivo é aberto, o NetSupport RAT, um popular trojan de acesso remoto, é carregado no sistema. Os scripts executados assim que tiverem acesso ao PC também instalarão e iniciarão o trojan de roubo de senha Raccoon Stealer.
Originalmente encerrado em março de 2022, o Raccoon Stealer retornou em junho com uma série de atualizações. Uma vez aberto com sucesso no sistema da vítima, o Raccoon 2.0 verifica senhas, cookies, dados de preenchimento automático e detalhes de cartão de crédito armazenados e salvos em navegadores da web. Ele também pode roubar arquivos e tirar screenshots da área de trabalho.
Conforme destacado pelo Bleeping Computer, as telas de proteção DDoS estão começando a se tornar a norma. Seu objetivo é proteger sites de bots maliciosos que procuram desabilitar seus servidores, inundando-os com tráfego. No entanto, parece que os hackers descobriram uma brecha para usar essas telas como um disfarce para espalhar malware.
Com isso em mente, a Sucuri aconselha os administradores do WordPress a examinar seus arquivos de tema, que é onde os agentes de ameaças estão concentrando seus esforços. Ademais, o site de segurança enfatiza que os arquivos ISO não estarão envolvidos nas telas de proteção contra DDoS, portanto, certifique-se de não baixar nada do tipo.
Atividades de hackers, malware e ransomware tornaram-se cada vez mais comuns ao longo de 2022. Por exemplo, um esquema de hacking como serviço oferece a capacidade de roubar dados do usuário por apenas US$ 10. Como sempre, certifique-se de reforçar suas senhas e habilitar a autenticação de dois fatores em todos os seus dispositivos e contas.
Com informações de Digital Trends.