Witryny rządowe rozpowszechniają wirusy pod przykrywką narzędzi hakerskich

Ostatnia aktualizacja gru 3, 2022

Po kilku fałszywych krokach użytkownik zostanie poproszony o pobranie złośliwego pliku lub wprowadzenie danych karty, aby kontynuować.

W ramach ataku na dużą skalę hakerzy publikują artykuły na rządowych i uniwersyteckich stronach internetowych z instrukcjami, jak włamać się na konta w sieciach społecznościowych, co prowadzi do infekcji komputera złośliwym oprogramowaniem.

Atak wyszedł na jaw, gdy Cyble, firma wywiadowcza zajmująca się bezpieczeństwem, udostępniła zrzut ekranu przedstawiający włamanie na stronę UNESCO.org w celu opublikowania artykułu o tym, jak zhakować konto na Instagramie.

Kliknięcie osadzonego linku przeniesie Cię do strony internetowej, która twierdzi, że jest narzędziem do hakowania konta na Instagramie.

Jeśli spróbujesz użyć tego narzędzia, przeprowadzi Cię ono przez serię kroków „dla pozorów", jak pokazano na poniższym filmie, i ostatecznie poprosi o pobranie pliku w celu ukończenia hackowania. Jednak kliknięcie łącza pobierania przekierowuje Cię do strony, która rozpowszechnia złośliwe oprogramowanie.

Część większej kampanii hakerskiej

BleepingComputer zbadał dokładniej i odkrył, że wiele innych witryn uczelnianych, rządowych i organizacji zostało zhakowanych w celu promowania fałszywych narzędzi hakerskich dla Netflix, WhatsApp, Facebook, Instagram, TikTok i Snapchat.

Przykład wyszukiwania hacków TikTok

Niektóre witryny będące celem tej kampanii są własnością organizacji rządowych USA w San Diego, Kolorado, Minnesocie, a także witryn UNESCO, National Institutes of Health (nih.gov), National Cancer Institute (Cancer.gov), Rutgers, Uniwersytet. Washington, Arizona State University, Rochester Institute of Technology, University of Iowa, University of Maryland i University of Michigan,

Na podstawie wzorców zaobserwowanych przez BleepingComputer osoby atakujące wykorzystują luki w CMS do hostowania własnych artykułów. Jedną z powszechnych metod było wykorzystywanie komponentu Drupal Webform do przesyłania plików PDF z odsyłaczami do fałszywych narzędzi hakerskich.

Co gorsza, atakującym udało się przeprowadzić czarne kapelusze SEO, dzięki czemu te „narzędzia hakerskie” są promowane jako pierwszy wynik wyszukiwania w ogólnych wyszukiwaniach słów kluczowych w Google.

Pierwsze miejsce w wyszukiwarce Google

Kliknięcie tych linków przekieruje użytkowników do stron z fałszywymi narzędziami hakerskimi, podobnymi do strony na Instagramie, którą pokazaliśmy powyżej.

Na przykład pierwszym wynikiem wyszukiwania w Google hasła „hack tiktok account” jest witryna hostująca fałszywe narzędzie hakerskie TikTok, jak pokazano poniżej.

Fałszywe narzędzie hakerskie TikTok

Wszystkie testowane witryny zachowują się w ten sam sposób; udawać, że włamałeś się na swoje konto, a następnie twierdzić, że się nie powiodło i musisz pobrać program, aby kontynuować.

Kliknięcie tych łączy prowadzi do żądań podania danych osobowych, informacji o karcie kredytowej lub monituje o pobranie pakietu pakietów złośliwego oprogramowania i oprogramowania reklamowego.