Урядові сайти розповсюджують віруси під виглядом інструментів хакерів

Останнє оновлення Гру 1, 2022

Після кількох фальшивих кроків користувачеві буде запропоновано завантажити шкідливий файл або ввести дані картки, щоб продовжити.

У рамках великомасштабної атаки хакери розміщують на урядових сайтах та сайтах університетів статті з інструкціями зі злому облікових записів соціальних мереж, які призводять до зараження комп’ютера шкідливим програмним забезпеченням.

Вперше про атаку стало відомо, коли компанія Cyble, яка займається розвідкою безпеки, поділилася знімком екрану сайту UNESCO.org, зламаного для розміщення статті про те, як зламати обліковий запис у Instagram.

Натиснувши на вбудоване посилання, ви потрапите на веб-сайт, який видає себе за інструмент для зламування облікових записів Instagram.

Якщо ви спробуєте використовувати цей інструмент, то він проведе вас через ряд кроків "для виду", як показано у відео нижче, і зрештою запропонує завантажити файл, щоб завершити злом. Однак натискання посилання для завантаження перенаправляє вас на сайт, що розповсюджує шкідливі програми.

Частина більшої хакерської кампанії

У виданні BleepingComputer провели подальше розслідування та виявили, що багато інших сайтів коледжів, урядів та організацій було зламано для просування підроблених хакерських інструментів для Netflix, WhatsApp, Facebook, Instagram, TikTok та Snapchat.

Приклад пошуку злому TikTok

Деякі сайти, на які націлена ця кампанія, належать американським урядовим організаціям у Сан-Дієго, Колорадо, Міннесоти, а також сайтам ЮНЕСКО, Національних інститутів охорони здоров’я (nih.gov), Національного інституту раку (Cancer.gov), Рутгерса, Університету. Вашингтона, Державного університету Арізони, Рочестерського технологічного інституту, Університету Айови, Університету Меріленду та Університету Мічигану,

Судячи з зразків, що спостерігаються BleepingComputer, зловмисники використовують уразливості в CMS розміщення власних статей. Одним із найпоширеніших методів було використання компонента Webform Drupal для завантаження PDF-файлів з посиланнями на підроблені інструменти хакерів.

Що ще гірше, зловмисники успішно змогли провести чорну SEO-оптимізацію, тому ці «хакерські інструменти» просуваються як перший результат пошуку в пошуку за загальним ключовим словами в Google.

Перше місце в пошуку Google

При натисканні на ці посилання користувачі будуть перенаправлені на сторінки з підробленими інструментами злому, схожим на сайт Instagram, який ми продемонстрували вище.

Наприклад, перший результат пошуку Google hack tiktok account – це сайт, на якому розміщений підроблений інструмент злому TikTok, як показано нижче.

Підробний інструмент зламування TikTok

Усі протестовані сайти поводяться однаково; роблять вигляд, що ви зламали обліковий запис, а потім заявляють, що вони зазнали невдачі і вам потрібно завантажити програму, щоб продовжити.

Натискання на ці посилання призводить до прохання надати особисту інформацію, дані кредитної картки або завантажити набір шкідливих програм і пакетів рекламного ПЗ.