Η εταιρεία ασφαλείας του cloud Wiz προειδοποιεί για μια εκτεταμένη εκστρατεία ανακατεύθυνσης στην οποία χιλιάδες ιστότοποι που στοχεύουν κοινό της Ανατολικής Ασίας έχουν παραβιαστεί χρησιμοποιώντας νόμιμες διαπιστευτήρια FTP.
Σε πολλές περιπτώσεις, οι εισβολείς κατάφεραν να αποκτήσουν εξαιρετικά ασφαλή διαπιστευτήρια FTP που δημιουργήθηκαν αυτόματα και τα χρησιμοποίησαν για να παραβιάσουν τους ιστότοπους των θυμάτων για να ανακατευθύνουν τους επισκέπτες σε περιεχόμενο με θέμα τους ενήλικες.
Πιθανώς σε εξέλιξη από τον Σεπτέμβριο του 2022, η καμπάνια είχε ως αποτέλεσμα τον συμβιβασμό τουλάχιστον 10.000 ιστοσελίδων, πολλοί από τους οποίους ανήκουν σε μικρές εταιρείες και ορισμένοι λειτουργούν από μεγάλες εταιρείες. Οι διαφορές στους παρόχους φιλοξενίας και τις στοίβες τεχνολογίας καθιστούν δύσκολο τον εντοπισμό ενός κοινού σημείου εισόδου, λέει ο Wiz.
Ως μέρος των περιστατικών που παρατηρήθηκαν αρχικά, οι εισβολείς πρόσθεσαν στις παραβιασμένες ιστοσελίδες «μία γραμμή κώδικα HTML, με τη μορφή μιας ετικέτας σεναρίου που αναφέρεται σε ένα σενάριο JavaScript που φιλοξενείται εξ αποστάσεως». Οι ετικέτες που εισάγονται έχουν ως αποτέλεσμα τη λήψη και εκτέλεση ενός σεναρίου JavaScript στα μηχανήματα των επισκεπτών του ιστότοπου.
Σε ορισμένες περιπτώσεις, ο κώδικας JavaScript εγχύθηκε απευθείας σε υπάρχοντα αρχεία στον παραβιασμένο διακομιστή, πιθανότατα μέσω πρόσβασης FTP, γεγονός που αποκλείει την πιθανότητα κακόβουλης διαφήμισης, λέει ο Wiz.
Η εκκίνηση στον τομέα της κυβερνοασφάλειας έχει εντοπίσει πολλούς διακομιστές που σχετίζονται με αυτήν την καμπάνια, οι οποίοι εξυπηρετούν παραλλαγές JavaScript που παρουσιάζουν πολλές ομοιότητες, υποδηλώνοντας ότι είναι στενά συνδεδεμένοι, αν όχι μέρος της ίδιας δραστηριότητας.
Ο κώδικας ανακατεύθυνσης JavaScript ελέγχει για συγκεκριμένες συνθήκες πριν ανακατευθύνει τον επισκέπτη στον ιστότοπο προορισμού, συμπεριλαμβανομένης μιας τιμής πιθανότητας, ενός σετ cookie στον υπολογιστή του θύματος, εάν ο επισκέπτης είναι ανιχνευτής και εάν χρησιμοποιεί ή όχι Android.
Αρχικά, ο κώδικας JavaScript παρατηρήθηκε επίσης να λαμβάνει δακτυλικά αποτυπώματα στα προγράμματα περιήγησης των χρηστών και να στέλνει τις πληροφορίες που συλλέγονται σε υποδομές που ελέγχονται από τους εισβολείς. Ωστόσο, η συμπεριφορά δεν έχει συμβεί από τον Δεκέμβριο του 2022.
Η Wiz έχει παρατηρήσει και άλλες αλλαγές στα σενάρια ανακατεύθυνσης, συμπεριλαμβανομένης της προσθήκης ενδιάμεσων διακομιστών στην αλυσίδα ανακατεύθυνσης τον Φεβρουάριο του 2023.
Σε ορισμένες περιπτώσεις, οι διαχειριστές του ιστότοπου αφαίρεσαν την κακόβουλη ανακατεύθυνση, μόνο για να παρατηρήσουν ότι εμφανίστηκε ξανά λίγο αργότερα.
Ο στόχος της καμπάνιας, λέει η Wiz, θα μπορούσε να είναι η απάτη σε διαφημίσεις ή η χειραγώγηση SEO, αλλά είναι επίσης πιθανό οι εισβολείς να επιδιώκουν απλώς να αυξήσουν την επισκεψιμότητα στους ιστότοπους προορισμού. Ωστόσο, οι φορείς της απειλής θα μπορούσαν επίσης να αποφασίσουν να κάνουν κατάχρηση της αποκτηθείσας πρόσβασης για να εκτελέσουν άλλες βλαβερές δραστηριότητες.