Hallituksen verkkosivustot levittävät viruksia hakkerointityökalujen varjolla

Viimeisin päivitys joulu 3, 2022

Useiden väärennettyjen vaiheiden jälkeen käyttäjää pyydetään lataamaan haitallinen tiedosto tai antamaan kortin tiedot jatkaakseen.

Osana laajamittaista hyökkäystä hakkerit julkaisevat valtion ja yliopistojen verkkosivuille artikkeleita, joissa on ohjeita sosiaalisen verkoston tileille murtautumisesta, mikä johtaa haittaohjelmatartunnan saamiseen tietokoneeseen.

Hyökkäys paljastui ensimmäisen kerran, kun tietoturvatiedusteluyritys Cyble jakoi kuvakaappauksen UNESCO.org:n hakkerointia varten isännöidäkseen artikkelin Instagram-tilin hakkeroinnista.

Napsauttamalla upotettua linkkiä siirryt verkkosivustolle, joka väittää olevansa Instagram-tilin hakkerointityökalu.

Jos yrität käyttää tätä työkalua, se vie sinut läpi sarjan esiintymistä koskevia vaiheita, kuten alla olevassa videossa näkyy, ja lopulta kehottaa sinua lataamaan tiedoston hakkeroinnin viimeistelemiseksi. Latauslinkin napsauttaminen kuitenkin ohjaa sinut sivustolle, joka levittää haittaohjelmia.

Osa laajempaa hakkerointikampanjaa

BleepingComputer tutki lisää ja havaitsi, että monia muita korkeakoulujen, hallitusten ja organisaatioiden verkkosivustoja on hakkeroitu väärennettyjen hakkerointityökalujen mainostamiseksi Netflixille, WhatsAppille, Facebookille, Instagramille, TikTokille ja Snapchatille.

Esimerkki TikTok Hack Search

Jotkut tämän kampanjan kohteena olevista sivustoista ovat Yhdysvaltain hallituksen organisaatioiden omistamia San Diegossa, Coloradossa, Minnesotassa, sekä Unescon, National Institutes of Healthin (nih.gov), National Cancer Instituten (Cancer.gov), Rutgersin, Yliopisto. Washington, Arizona State University, Rochester Institute of Technology, University of Iowa, University of Maryland ja University of Michigan,

BleepingComputerin havaitsemien mallien perusteella hyökkääjät käyttävät CMS:n haavoittuvuuksia isännöidäkseen omia artikkeleitaan. Yksi yleinen tapa oli käyttää Drupal Webform -komponenttia PDF-tiedostojen lataamiseen, joissa on linkkejä väärennetyille hakkerointityökaluille.

Asiaa pahentaa vielä se, että hyökkääjät ovat onnistuneet tekemään black hat SEO:n niin, että näitä "hakkerointityökaluja" mainostetaan ensimmäisinä hakutuloksina yleisissä avainsanahauissa Googlessa.

Ensimmäinen paikka Google-haussa

Näiden linkkien napsauttaminen ohjaa käyttäjät sivuille, joissa on väärennettyjä hakkerointityökaluja, jotka ovat samankaltaisia kuin yllä esittelemämme Instagram-sivusto.

Esimerkiksi Google-haun "hack tiktok account" ensimmäinen tulos on sivusto, joka isännöi väärennettyä TikTok-hakkerointityökalua alla olevan kuvan mukaisesti.

Väärennetty TikTok Hack Tool

Kaikki testatut sivustot toimivat samalla tavalla; teeskentele, että olet hakkeroinut tilisi ja väitä sitten, että ne epäonnistuivat ja sinun on ladattava ohjelma jatkaaksesi.

Näiden linkkien napsauttaminen johtaa henkilökohtaisten tietojen tai luottokorttitietojen pyyntöihin tai kehottaa sinua lataamaan sarjan haitta- ja mainosohjelmapaketteja.