Hacker verwenden gefälschte WordPress-DDoS-Seiten, um Malware zu starten

Eskere Guru

Hacker treiben die Verbreitung gefährlicher Malware über WordPress-Websites durch gefälschte DDoS -Schutzseiten (Distributed Denial of Service) von Cloudflare voran, wie ein neuer Bericht herausgefunden hat.

Wie von PCMag und Bleeping Computer berichtet, werden Websites, die auf dem WordPress-Format basieren, von Angreifern gehackt, wobei NetSupport RAT und ein Trojaner (RaccoonStealer), der Passwörter stiehlt, installiert werden, wenn Opfer auf den Trick hereinfallen.

Eine digitale Darstellung eines Laptops, der von einem Hacker gehackt wird.

Das Cybersicherheitsunternehmen Sucuri hat detailliert beschrieben , wie Hacker in WordPress-Sites eindringen, die keine starke Sicherheitsgrundlage haben, um JavaScript-Payloads zu implementieren, die wiederum gefälschte Cloudflare-Schutz-DDoS-Warnungen anzeigen.

Sobald jemand eine dieser kompromittierten Websites besucht, wird er angewiesen, physisch auf eine Schaltfläche zu klicken, um die DDoS-Schutzprüfung zu bestätigen. Diese Aktion führt zum Download einer Datei „security_install.iso“ auf das eigene System.

Von hier aus wird die Person aufgefordert, zusätzlich zur Eingabe eines Codes die infizierte Datei zu öffnen, die als Programm namens DDOS GUARD getarnt ist.

Eine weitere Datei, security_install.exe, ist ebenfalls vorhanden – eine Windows-Verknüpfung, die einen PowerShell-Befehl über die Datei debug.txt ausführt. Sobald die Datei geöffnet ist, wird NetSupport RAT, ein beliebter Fernzugriffstrojaner, auf das System geladen. Die Skripte, die ausgeführt werden, sobald sie Zugriff auf den PC haben, installieren und starten auch den Raccoon Stealer-Trojaner, der Passwörter stiehlt.

Ursprünglich im März 2022 eingestellt, kehrte Raccoon Stealer im Juni mit einer Reihe von Updates zurück. Nach dem erfolgreichen Öffnen auf dem System eines Opfers scannt Raccoon 2.0 nach Passwörtern, Cookies, automatisch ausgefüllten Daten und Kreditkartendetails, die in Webbrowsern gespeichert und gespeichert werden. Es kann auch Dateien stehlen und Screenshots des Desktops machen.

Wie von Bleeping Computer hervorgehoben, werden DDoS-Schutzbildschirme allmählich zur Norm. Ihr Zweck ist es, Websites vor böswilligen Bots zu schützen, die versuchen, ihre Server zu deaktivieren, indem sie sie mit Datenverkehr überfluten. Es scheint jedoch, dass Hacker jetzt eine Lücke gefunden haben, um solche Bildschirme als Tarnung für die Verbreitung von Malware zu verwenden.

Vor diesem Hintergrund rät Sucuri WordPress-Administratoren, sich die Themendateien anzusehen, auf die Bedrohungsakteure ihre Bemühungen konzentrieren. Darüber hinaus betont die Sicherheitswebsite, dass ISO-Dateien nicht in DDoS-Schutzbildschirme involviert sind, also stellen Sie sicher, dass Sie nichts dergleichen herunterladen.

Hacking-, Malware- und Ransomware-Aktivitäten sind im Laufe des Jahres 2022 immer häufiger geworden. Beispielsweise bietet ein Hacking-as-a-Service-Schema die Möglichkeit, Benutzerdaten für nur 10 US-Dollar zu stehlen . Stellen Sie wie immer sicher, dass Sie Ihre Passwörter verstärken und die Zwei-Faktor-Authentifizierung für alle Ihre Geräte und Konten aktivieren.