Prag, Tschechische Republik, 13. April 2022 – Avast (LSE:AVST), ein weltweit führender Anbieter digitaler Sicherheits- und Privatsphärelösungen, hat ein neues bösartiges Web-Umleitungssystem (Traffic Direction System/TDS) entdeckt: Parrot TDS hat die Server von mehr als 16.500 Websites infiziert. Pornographische und persönliche Websites sind ebenso betroffen wie die Online-Präsenzen von Universitäten und Behörden. Parrot TDS zeigt auf betroffenen Seiten eine Phishing-Seite an, die Nutzer*innen auffordert, ihren Browser zu aktualisieren. Wird die angebotene Update-Datei geöffnet, lädt sie ein Fernzugriffstool herunter, das den Angreifer*innen vollen Zugriff auf den Computer verschafft.
“Umleitungssysteme wie Parrot TDS bieten über die infizierten Websites ein Einfallstor für bösartige Malware aller Art“, so Jan Rubin, Malware-Forscher bei Avast. „Aktuell wird zum Beispiel eine Schadsoftware namens ‘FakeUpdate’, auch bekannt als SocGholish, via Parrot TDS verbreitet, aber auch andere Arten von Cyberangriffen könnten in Zukunft mittels solcher Systeme stattfinden."
Schlecht gesicherte Accounts verschaffen Parrot TDS große Reichweite
Die Avast-Forscher Jan Rubin und Pavel Novak vermuten, dass die Angreifer*innen die Webserver unzureichend abgesicherter Content-Management-Systeme wie WordPress und Joomla nutzen, indem sie sich in Accounts mit schwachen Zugangsdaten einloggen und sich von dort aus Admin-Rechte für die Server verschaffen.
“Die Content-Management-Systeme sind die einzige Gemeinsamkeit der betroffenen Seiten. Meistens ist es WordPress, manchmal auch Joomla. Deswegen vermuten wir, dass die Angreifer*innen sich die schwachen Logins dieser Systeme zunutze machen, um die Websites mit schadhaftem Code zu infizieren.“, sagt Pavel Novak, Analyst bei Avast. „Parrot TDS ist dabei einzigartig, weil es nicht nur äußerst robust ist, sondern auch noch eine unglaubliche Reichweite hat.“
Parrot TDS gibt Angreifer*innen die Möglichkeit, ihre Phishing-Seiten nur Nutzer*innen anzuzeigen, die bestimmte Kriterien erfüllen: Das betrifft vor allem den Browser, die Cookie-Einstellungen und die Websites, von denen die Nutzer*innen auf die infizierte Seite zugreifen. Die Software ist außerdem so eingestellt, dass jede*r Nutzer*in die Phishing-Seite nur einmal angezeigt bekommt – so verhindert Parrot TDS die Überlastung seiner Server. Zwischen dem 1. und 29. März hat Avast mehr als 600.000 Nutzer*innen vor mit Parrot TDS infizierten Websites geschützt, die meisten davon in Brasilien (73.000), Indien (55.000) und in den USA (31.000), sowie mehr als 6.000 Nutzer*innen in Deutschland.
FakeUpdate
Die Schadsoftware FakeUpdate nutzt JavaScript, um Nutzer*innen Phishing-Seiten mit der Aufforderung zum Browser-Update anzuzeigen. Wie Parrot TDS scannt auch FakeUpdate vorab die Browserdaten. Damit schützt sich die Schadsoftware und entscheidet, ob sie die Phishing-Seite anzeigt – dabei spielt auch das auf dem Gerät installierte Antivirusprogramm eine Rolle. Bei der als Browser-Update verkleideten Datei handelt es sich eigentlich um ein Fernzugriffstool namens NetSupport Manager. Dieses Tool ist so konfiguriert, dass Nutzer*innen fast keine Chance haben, es zu bemerken. Wird die Datei geöffnet, bekommen die Angreifer*innen vollen Zugriff auf den Computer. Sie können die Nutzlast, die die Malware ins System schleust, dabei jederzeit verändern.
Neben FakeUpdate haben die Avast-Forscher*innen auch andere Phishing-Seiten auf mit Parrot TDS infizierten Websites beobachtet, können diese jedoch nicht mit abschließender Sicherheit mit Parrot in Verbindung bringen.
So können Entwickler*innen ihre Server schützen
- Scannen Sie alle Dateien mit einem Antivirenprogramm wie Avast Antivirus
- Ersetzen Sie alle JavaScript- und PHP-Dateien auf dem Server mit Originaldateien
- Nutzen Sie die aktuellste Version Ihres Content-Management-Systems
- Nutzen Sie die aktuellsten Versionen aller Plug-Ins
- Überprüfen Sie, ob auf dem Server Auto-Anwendungen laufen (beispielsweise Cron-Jobs)
- Richten Sie sichere Zugriffsdaten ein und nutzen Sie für jeden Dienst andere Zugriffsdaten
- Überprüfen Sie die Admin-Accounts auf dem Server. Stellen Sie sicher, dass sie tatsächlich zu Entwickler*innen gehören und über sichere Passwörter verfügen
- Richten Sie für Admin-Accounts, wo immer möglich, Zwei-Faktor-Authentifizierung ein
- Nutzen Sie Sicherheits-Plug-Ins für Ihr Content-Management-System (WordPress, Joomla)
So können Nutzer*innen sich vor Phishing-Angriffen schützen
- Sieht die Seite anders aus als erwartet, sollten Besucher*innen sie verlassen, keine Dateien herunterladen und keine Informationen eingeben
- Updates sollen ausschließlich direkt über die Browsereinstellungen heruntergeladen werden, niemals über andere Kanäle
Die vollständige Analyse steht auf dem Decoded-Blog von Avast zur Verfügung: https://go.fischerappelt.de/e/304191/ervers-and-threatens-millions-/23bg99/591854690?h=wnpc44b95lVh7FCUS7DXa2OvxouF0xhW3kHm1l-jQEk