WordPress-Seiten werden gehackt, um betrügerische Cloudflare-DDoS-Schutzseiten anzuzeigen, die zur Verbreitung von Malware wie NetSupport RAT und Raccoon Stealer führen.
„In letzter Zeit häufen sich JavaScript-Injektionen, die auf WordPress-Seiten abzielen und zu gefälschten DDoS-Schutzseiten führen, die die Opfer dazu verleiten, Malware wie den Remote-Access-Trojaner herunterzuladen“, so Ben Martin von Sucuri in einem letzte Woche veröffentlichten Bericht.
DDoS-Schutzseiten (Distributed Denial-of-Service) sind wichtige Browserüberprüfungen, die verhindern sollen, dass unerwünschter und bösartiger Bot-Verkehr die Bandbreite auffrisst und Websites lahmlegt.
Der neue Angriffsvektor besteht darin, WordPress-Seiten zu kapern, um gefälschte DDoS-Schutz-Pop-ups anzuzeigen, die, wenn sie angeklickt werden, letztendlich zum Download einer bösartigen ISO-Datei („security_install.iso“) auf die Systeme der Opfer führen.
Dies wird erreicht, indem drei Codezeilen in eine JavaScript-Datei („jquery.min.js“) oder alternativ in die aktive Themadatei der Website eingeschleust werden, die wiederum stark verschleiertes JavaScript von einem Remote-Server lädt.
„Dieses JavaScript kommuniziert dann mit einer zweiten bösartigen Domain, die weiteres JavaScript lädt, das die Aufforderung zum Download der bösartigen .iso-Datei auslöst“, erklärt Martin.
Nach dem Download werden die Nutzer/innen aufgefordert, einen Verifizierungscode einzugeben, der von der sogenannten „DDoS Guard“-Anwendung generiert wird, um das Opfer dazu zu verleiten, die waffenfähige Installationsdatei zu öffnen und auf die Zielwebsite zuzugreifen.
Der Installer zeigt zwar einen Verifizierungscode an, um die Täuschung aufrechtzuerhalten, aber in Wirklichkeit handelt es sich bei der Datei um einen Fernzugriffstrojaner namens NetSupport RAT, der mit der Malware-Familie FakeUpdates (auch bekannt als SocGholish) verknüpft ist und außerdem heimlich den Raccoon Stealer installiert, einen Trojaner zum Stehlen von Anmeldedaten, der in Untergrundforen zu mieten ist.
Diese Entwicklung ist ein Zeichen dafür, dass Bedrohungsakteure diese bekannten Sicherheitsmechanismen opportunistisch für ihre eigenen Kampagnen nutzen, um ahnungslose Webseitenbesucher zur Installation von Malware zu verleiten.
Um solche Bedrohungen abzuschwächen, müssen Website-Betreiber ihre Websites hinter einer Firewall platzieren, die Integrität von Dateien überprüfen und eine Zwei-Faktor-Authentifizierung (2FA) einführen. Website-Besucher/innen werden außerdem dazu angehalten, 2FA zu aktivieren, verdächtige Dateien nicht zu öffnen und einen Skriptblocker in Webbrowsern zu verwenden, um die Ausführung von JavaScript zu verhindern.
Der infizierte Computer könnte dazu benutzt werden, Zugangsdaten für soziale Medien oder Bankgeschäfte zu stehlen, Ransomware zu verbreiten oder das Opfer in ein ruchloses „Sklavennetzwerk“ einzuschleusen, den Computerbesitzer zu erpressen und seine Privatsphäre zu verletzen – je nachdem, was die Angreifer mit dem infizierten Gerät vorhaben“, so Martin.
Es ist nicht das erste Mal, dass ISO-Dateien und CAPTCHA-Prüfungen verwendet werden, um das NetSupport RAT zu verbreiten.
Im April 2022 enthüllte eSentire eine Angriffskette, bei der ein gefälschtes Chrome-Installationsprogramm zur Verbreitung des Trojaners genutzt wurde, der dann den Weg für die Ausführung des Mars Stealer ebnete. Auch eine von Cofense und Walmart Global Tech beschriebene Phishing-Kampagne zum Thema Finanzamt nutzte gefälschte CAPTCHA-Rätsel auf Websites, um die gleiche Malware zu verbreiten.