WordPress-websites worden aangevallen om neppe Cloudflare DDoS-beschermingsmeldingen weer te geven. Via de neppe meldingen weten hackers malware te verspreiden.

DDoS-alerts van Cloudflare beschermen normaal websites tegen pingende bots die het verkeer naar de betreffende site proberen te overweldigen. Bezoekers zien het klikken op deze alerts als een kleine onhandigheid voor een bezoek aan een bepaalde website.

Kwaadaardige payload

Onderzoekers van Sucuri hebben nu ontdekt dat hackers via een zwaar verborgen en aangepast JavaScript payload deze alerts kunnen misbruiken voor het instaleren van malware. Vooral slecht beveiligde WordPress-website vormen een aantrekkelijk doelwit.

Met het kwaadaardige script laten zij een nep Cloudflare DDoS-scherm zien. De melding vraagt bezoekers op een knop te klikken om het scherm te omzeilen. Het klikken zorgt ervoor dat een ‘security_install_iso’-bestand op de computer wordt geïnstalleerd. Het doet zich voor als een tool, genaamd DDOS GUARD, die nodig is om het (valse) DDoS-verificatiescherm te passeren.

Installatie van twee trojans

Vervolgens wordt slachtoffers gevraagd het bestand te openen en een bepaalde code in te voeren. Wanneer zij dit bestand openen, zien zij het exe-bestand ‘security_install.exe’. Dit bestand is een Windows shortcut die een PowerShell-commando draait vanuit het debug.txt-bestand.

Het opent een heleboel andere scripts. Op hetzelfde moment wordt ook NetSupport RAT geïnstalleerd. Dit is een veelgebruikte remote access trojan.

De scripts installeren ook de Raccoon Stealer trojan en lanceren deze op het gebruikte device. De trojan, inmiddels versie 2.0, richt zich op het stelen van wachtwoorden, cookies, auto-fill data en creditcardinformatie die gebruikers in web browsers hebben opgeslagen. Ook zoekt de trojan naar de inhoud van verschillende crypto wallets, kan het bestanden exporteren en screenshots maken van het scherm van het getroffen device.

Beschermingsmogelijkheden

Sucuri roept beheerders van WordPress-websites op theme-bestanden goed te checken. de voornaamste bron van infecties. Verder zouden beheerders file integrity monitoringssystemen uitrollen om de JS-injecties te onderscheppen wanneer ze plaatsvinden en op die manier voorkomen dat websites een distributiepunt worden voor zogenoemde RAT’s.

Internetgebruikers kunnen zichzelf beter beschermen door de script blocking settings in hun webbrowser aan te zetten, hoewel dit de functionaliteit van veel websites beperkt. Ook moeten zij goed weten dat het downloaden van ISO-bestanden nooit onderdeel is van legitieme anti-DDoS-procedures.