WordPress siteleri, NetSupport RAT ve RaccoonStealer parola çalan Truva atını yükleyen kötü amaçlı yazılımları dağıtmak için sahte Cloudflare DDoS koruma sayfalarını görüntülemek için saldırıya uğruyor.
DDoS (dağıtılmış hizmet reddi) koruma ekranları internette yaygındır, siteleri sahte isteklerle ping yapan ve çöp trafiğine boğmayı amaçlayan botlardan korur.
İnternet kullanıcıları, bu “hoş geldiniz ekranlarını”, favori çevrimiçi kaynaklarını kötü niyetli operatörlerden koruyan, kaçınılmaz kısa vadeli bir sıkıntı olarak görürler. Ne yazık ki, bu aşinalık, kötü amaçlı yazılım kampanyaları için mükemmel bir fırsat sunuyor.
Sahte Cloudflare istemleri aracılığıyla kötü amaçlı yazılım
tarafından bir raporda detaylandırıldığı gibi meyve sularıtehdit aktörleri, sahte bir Cloudflare koruma DDoS ekranı görüntüleyen, oldukça karmaşık bir JavaScript yükü eklemek için kötü korunan WordPress sitelerini hackliyor.
Aşağıda gösterilen bu ekran, ziyaretçinin DDoS koruma ekranını atlamak için bir düğmeye tıklamasını ister. Ancak, düğmeye tıklamak, bilgisayara DDoS doğrulamasını atlamak için gerekli bir araç gibi görünen bir ‘security_install.iso’ dosyası indirecektir.
Kurbanlara daha sonra DDOS GUARD adlı bir uygulamaymış gibi davrandıkları security_install.iso dosyasını açmaları ve gösterilen kodu girmeleri söylenir.
Bir kullanıcı security_install.iso dosyasını açtığında, aslında debug.txt dosyasından bir PowerShell komutu çalıştıran bir Windows kısayolu olan security_install.exe adlı bir dosya görür.
Sonuç olarak, bu, siteyi görüntülemek için gereken sahte DDoS kodunu görüntüleyen ve günümüzde kötü amaçlı kampanyalarda yaygın olarak kullanılan bir uzaktan erişim truva atı olan NetSupport RAT’ı yükleyen bir komut dizisi zincirinin çalışmasına neden olur.
Ek olarak, komut dosyaları Raccoon Stealer şifre çalma truva atını indirecek ve cihazda başlatacaktır.
Rakun Hırsızı operasyonlara geri döndü Haziranda bu yıl, yazarlarının ikinci ana sürümünü yayınladığı ve bir abonelik modeli altında siber suçluların kullanımına sunduğu zaman.
Raccoon 2.0, web tarayıcılarında kayıtlı şifreleri, çerezleri, otomatik doldurma verilerini ve kredi kartlarını, çok çeşitli kripto para cüzdanlarını hedefler ve ayrıca dosya hırsızlığı gerçekleştirme ve kurbanın masaüstünün ekran görüntülerini alma yeteneğine sahiptir.
nasıl korunur
Yöneticiler, WordPress sitelerinin tema dosyalarını kontrol etmelidir, çünkü Sucuri’ye göre bu, bu kampanyadaki en yaygın bulaşma noktasıdır.
Ek olarak, bu JS enjeksiyonlarını olduğu gibi yakalamak ve sitenizin bir RAT dağıtım noktası olmasını önlemek için dosya bütünlüğü izleme sistemlerinin kullanılması tavsiye edilir.
İnternet kullanıcıları, tarayıcılarında katı komut dosyası engelleme ayarlarını etkinleştirerek kendilerini bu tür tehditlerden koruyabilirler, ancak bu neredeyse tüm sitelerin işlevselliğini bozacaktır.
Son olarak, ISO dosyalarını indirmenin hiçbir zaman meşru DDoS karşıtı prosedürlerin bir parçası olmadığını unutmayın; bu nedenle, bunu dikkatsizlikten yapsanız bile, paketlerini açmayın veya içeriklerini çalıştırmayın.