Falso avviso di protezione DDoS installa malware

Falso avviso di protezione DDoS installa malware

Utilizzando un falso avviso di protezione DDoS, mostrato su alcuni siti WordPress compromessi, sono stati distribuiti NetSupport RAT e Raccoon Stealer.
Falso avviso di protezione DDoS installa malware
Utilizzando un falso avviso di protezione DDoS, mostrato su alcuni siti WordPress compromessi, sono stati distribuiti NetSupport RAT e Raccoon Stealer.

I ricercatori di Sucuri hanno scoperto una nuova tattica usata per distribuire malware. I cybercriminali iniettano codice JavaScript nei siti realizzati con WordPress per mostrare un falso avviso di protezione DDoS. Gli utenti che seguono le istruzioni scaricheranno sul computer un RAT e un trojan. È quindi fortemente consigliato l’uso di una soluzione di sicurezza che rileva e blocca queste minacce. Tra le migliori sul mercato c’è Bitdefender Total Security.

Malware distribuito con la protezione DDoS

Gli attacchi DDoS (Distributed Denial of Service) mettono fuori uso il server con un numero elevatissimo di richieste, impedendo quindi di accedere al sito. La protezione DDoS rileva se il traffico proviene da una botnet, quindi prima di accedere al sito è necessario dimostrare di essere un umano (spesso con la verifica tramite CAPTCHA). Gli esperti di Sucuri hanno scoperto una campagna malware che sfrutta questa funzionalità.

In alcuni siti WordPress è stato iniettato un codice JavaScript che permette di visualizzare un falso avviso di protezione DDoS. L’utente che visita il sito dovrà cliccare sul link indicato per dimostrare di essere un umano. Verrà quindi scaricato un file ISO, all’interno dei quale c’è l’app DDoS Guard da usare per accedere al sito digitando un codice di verifica. L’eseguibile legge in un file di testo il comando PowerShell che avvia NetSupport RAT e il famigerato Raccoon Stealer.

Quest’ultimo, recentemente aggiornato, può rubare numerose informazioni sensibili dal computer (password, cookie, dati delle carte di credito) e accedere ai wallet di varie criptovalute. Oltre a non cliccare su link sospetti e utilizzare l’autenticazione in due fattori, gli utenti dovrebbero anche installare un buon antivirus.

Fonte: Sucuri
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
22 ago 2022
Link copiato negli appunti