Široko rasprostranjena maliciozna kibernetička operacija “preotela” je hiljade web stranica usmjerenih na publiku u istočnoj Aziji kako bi preusmjerila posjetitelje na sadržaj za odrasle od početka septembra 2022. godine.
Kampanja koja je u toku uključuje ubrizgavanje malicioznog JavaScript koda na hakovane web stranice, često povezivanje na ciljni web server koristeći legitimne FTP akreditive koje je haker prethodno dobio nepoznatom metodom.
“U mnogim slučajevima, to su bili visoko sigurni automatski generisani FTP akreditivi koje je napadač nekako uspio steći i iskoristiti za otmicu web stranice” rekao je Wiz u izvještaju objavljenom ovog mjeseca.
Činjenica da provaljene web stranice, u vlasništvu i malih firmi i multinacionalnih korporacija, koriste različite tehnološke stekove i pružatelje usluga hostinga otežava praćenje zajedničkog vektora napada, napomenula je kompanija za bezbjednost u Cloud-u.
Uzimajući to u obzir, jedan od zajedničkih nazivnika između web stranica je da je većina njih ili hostovana u Kini ili u drugoj zemlji, ali su namijenjene kineskim korisnicima.
Štaviše, URL-ovi u kojima se nalazi lažni JavaScript kod su geoograđeni kako bi se ograničilo njihovo izvršavanje u određenim zemljama istočne Azije.
Postoje i naznake da je kampanja usmjerena i na Android, sa skriptom za preusmjeravanje koja vodi posjetitelje na web stranice za kockanje koje ih pozivaju da instaliraju aplikaciju (naziv APK paketa “com.tyc9n1999co.coandroid“).
Identitet hakera još nije poznat, a iako se njihovi precizni motivi tek trebaju utvrditi, sumnja se da je cilj izvođenje prevare oglasa i SEO manipulacije, ili alternativno, usmjeravanje neorganskog prometa na ove web stranice.
Još jedan značajan aspekt napada je odsustvo krađe identiteta, skimminga ili zaraze malicioznim softverom.
“I dalje nismo sigurni kako je haker dobio početni pristup tolikom broju web stranica i tek treba da identifikujemo bilo kakve značajne sličnosti između pogođenih servera osim njihove upotrebe FTP-a” rekli su istraživači Amitai Cohen i Barak Sharoni.
“Iako je malo vjerovatno da haker koristi Zero Day ranjivost s obzirom na očito nisku sofistikovanost napada, ne možemo to isključiti kao opciju.”
Izvor: The Hacker News