Жертв заражают трояном NetSupport и инфостилером Raccoon Stealer.
Согласно отчету компании Sucuri, хакеры взламывают плохо защищенные сайты на WordPress, чтобы внедрить сильно обфусцированный JavaScript-код, который выводит на сайт поддельное уведомление от Cloudflare.
Как показано ниже, посетителю сайта предлагается кликнуть на кнопку, чтобы обойти защиту от DDoS-атак. Если жертва кликает на кнопку, то на ее компьютер загружается файл 'security_install.iso', который выдает себя за инструмент, необходимый для обхода защиты.
Фальшивое уведомление от Cloudflare
Затем жертве предлагается открыть файл security_install.iso, который маскируется под приложение DDOS GUARD, и ввести указанный код.
Окно для ввода кода на сайте и генератор кода
Когда пользователь открывает файл security_install.iso, он видит файл security_install.exe, который запускает PowerShell-команду из файла debug.txt.
Содержимое файла security_install.iso
После этого запускается цепочка скриптов, которые генерируют фальшивый код, необходимый для просмотра сайта, а также устанавливают популярный троян удаленного доступа (RAT) под названием NetSupport. Кроме того, скрипты развертывают на устройстве жертвы Raccoon Stealer 2.0 – вредонос, который крадет пароли, cookie-файлы, данные автозаполнения и кредитные карты, сохраненные в веб-браузерах, а также данные различные криптовалютных кошельков. Кроме того, этот инфостилер умеет красть файлы с устройства жертвы и делать скриншоты рабочего стола.
Полная цепочка атак с использованием поддельных уведомлений от Cloudflare
Эксперты Sucuri рекомендуют администраторам проверить файлы тем своих сайтов на WordPress и начать использовать системы мониторинга целостности файлов, чтобы перехватывать JS-инъекции в момент их возникновения, тем самым не давая возможности хакерам сделать из сайта точку распространения вредоносного ПО.
Спойлер: она начинается с подписки на наш канал