Más de 10 mil páginas de contenido educacional y gubernamental fueron víctimas de hackers

Los profesionales en el área descubrieron un nuevo sistema de dirección de tráfico malicioso, Parrot TDS, el cual infectó a varios servidores web (más de 16.500 sitios) alrededor de todo el mundo.

Bajo la técnica de phishing, en la cual modifican la apariencia para que se vea completamente real a la original, dejaban un anuncio que indicaba al usuario que tenía que actualizar su navegador.

Al acceder, el usuario ejecutaba el archivo de actualización del navegador y se descargaba una herramienta de acceso remoto (RAT), la cual facilita el acceso a los atacantes: éstos pueden entrar por completo a las computadoras de las víctimas.

Al respecto, el investigador de malware de Avast (y quien identificó este problema) Jan Rubin, mencionó que “los sistemas de dirección de tráfico sirven como puerta de entrada para la entrega de varias campañas maliciosas a través de los sitios infectados”.

Y agregó: “En este momento, se está distribuyendo una campaña maliciosa llamada FakeUpdate (también conocida como SocGholish) a través de Parrot TDS, pero se podrían realizar otras actividades maliciosas en el futuro a través de TDS”.

Tanto Rubin como Pavel Novak (otro de los investigadores) creen que los atacantes están explotando los servidores web de los sistemas de administración de contenidos poco seguros. Tal es el caso de WordPress y Joomla.

“Lo único que tienen en común los sitios es que son sitios de WordPress y, en algunos casos, de Joomla. Por lo tanto, sospechamos que se aprovechan de las credenciales de inicio de sesión débiles para infectar los sitios con código malicioso”, explicó Novak, analista de ThreatOps en Avast.

“La robustez de Parrot TDS y su gran alcance lo hacen único”, añadió. Este script permite a los atacantes redirigir al usuario a contenido malicioso controlado por ellos, aunque sólo se lo muestran a víctimas potenciales que cumplen con ciertas condiciones (dependiendo del tipo de navegador de los usuarios, las cookies y el sitio web del que proceden).

Entre las webs afectadas, hay páginas de contenido para adultos, sitios personales, de universidades y gubernamentales.

Cómo evitar ser víctima de phishing
La prevención se centra en dos puntos muy importantes: abandonar la página una vez que el sitio al que se visita luzca diferente a lo esperado y descargar las actualizaciones directamente desde la configuración del navegador.