Um grupo de hackers tem usado páginas falsas de proteção contra DDoS para enganar usuários desavisados a instalar malware, de acordo com a empresa de segurança cibernética Sucuri, de propriedade da GoDaddy.
Hackers estão sequestrando sites do WordPress para exibir páginas falsas de proteção contra DDoS. Aqueles que visitam esses sites veem um pop-up que se disfarça como um serviço de proteção contra DDoS da Cloudflare. Mas uma vez que eles clicam na mensagem, o pop-up baixará o arquivo ISO malicioso em seu PC.
O ataque explora como DDoS-As páginas de proteção às vezes aparecem em sites que você está tentando visitar, na tentativa de impedir que bots e outros tráfegos maliciosos da Web bombardeiem o site e desativem o serviço. Os visitantes devem resolver um teste CAPTCHA para provar que são humanos.
Nesse caso, os hackers oferecem páginas falsas de proteção contra DDoS adicionando uma linha de código JavaScript em sites WordPress sequestrados “Como esses tipos de verificação de navegador são tão comuns na web, muitos usuários não pensariam duas vezes antes de clicar nesta mensagem para acessar o site que estão tentando visitar”, disse Ben Martin, pesquisador de segurança da Sucuri escreveu em uma postagem de blog.
Especificamente, páginas falsas de proteção contra DDoS baixam um arquivo chamado “security_install.iso” no computador da vítima. O site WordPress exibirá um pop-up adicional solicitando ao usuário que instale o arquivo ISO para obter um código de verificação.
“O que a maioria dos usuários não percebe é que esse arquivo é, na verdade, um Trojan de acesso remoto, atualmente marcado por 13 provedores de segurança no momento de escrever este artigo”, disse Martin. Isso significa que o Trojan pode abrir caminho para um hacker assumir remotamente o computador da vítima.
De acordo com o fornecedor de antivírus Malwarebytes, o arquivo ISO é na verdade um malware chamado Netsupport RAT (Remote Access Trojan), que tem sido usado em ataques de ransomware. O mesmo programa malicioso também pode instalar ladrão de guaxinim que é capaz de recuperar senhas e outras credenciais de usuário de um PC infectado.
O incidente é um lembrete para ficar atento quando o navegador do seu PC baixar um arquivo misterioso, mesmo de um serviço de segurança da web aparentemente legítimo “Atores mal-intencionados vão usar qualquer caminho disponível para comprometer computadores e entregar seu malware a vítimas desavisadas”, acrescentou Martin.
