Правительственные сайты распространяют вирусы под видом хакерских инструментов

Правительственные сайты распространяют вирусы под видом хакерских инструментов

После нескольких фальшивых шагов пользователю будет предложено скачать вредоносный файл или ввести данные карты, чтобы продолжить.

В рамках крупномасштабной атаки хакеры размещают на правительственных сайтах и сайтах университетов статьи с инструкциями по взлому учетных записей социальных сетей, которые приводят к заражению компьютера вредоносным ПО.

Впервые об атаке стало известно, когда компания Cyble, занимающаяся разведкой безопасности, поделилась снимком экрана сайта UNESCO.org, взломанного для размещения статьи о том, как взломать аккаунт в Instagram.

Нажав на встроенную ссылку, вы попадете на веб-сайт, который выдает себя за инструмент для взлома аккаунтов Instagram.

Если вы попытаетесь использовать этот инструмент, то он проведет вас через ряд шагов "для вида", как показано в видео ниже, и в конечном итоге предложит вам загрузить файл, чтобы завершить взлом. Однако нажатие на ссылку для загрузки перенаправляет вас на сайт, распространяющий вредоносные программы.

Часть более крупной хакерской кампании

В издании BleepingComputer провели дальнейшее расследование и обнаружили, что многие другие сайты колледжей, правительств и организаций были взломаны для продвижения поддельных хакерских инструментов для Netflix, WhatsApp, Facebook, Instagram, TikTok и Snapchat.

Пример поиска взлома TikTok
Пример поиска взлома TikTok

Некоторые из сайтов, на которые нацелена эта кампания, принадлежат американским правительственным организациям в Сан-Диего, Колорадо, Миннесоты, а также сайтам ЮНЕСКО, Национальных институтов здравоохранения (nih.gov), Национального института рака (Cancer.gov), Рутгерса, Университета. Вашингтона, Государственного университета Аризоны, Рочестерского технологического института, Университета Айовы, Университета Мэриленда и Университета Мичигана,

Судя по образцам, наблюдаемым BleepingComputer, злоумышленники используют уязвимости в CMS для размещения собственных статей. Одним из распространенных методов, было использование компонента Webform Drupal для загрузки PDF-файлов со ссылками на поддельные хакерские инструменты.

Что еще хуже, злоумышленники успешно смогли провести черную SEO-оптимизацию, так что эти «хакерские инструменты» продвигаются как первый результат поиска в поиске по общим ключевым словам в Google.

Первое место в поиске Google

При нажатии на эти ссылки пользователи будут перенаправлены на страницы с поддельными инструментами взлома, похожим на сайт Instagram, который мы продемонстрировали выше.

Например, первый результат поиска Google «hack tiktok account» - это сайт, на котором размещен поддельный инструмент взлома TikTok, как показано ниже.

Поддельный инструмент взлома TikTok

Все протестированные сайты ведут себя одинаково; делают вид, что вы взломали аккаунт, а затем заявляют, что они потерпели неудачу и вам нужно загрузить программу, чтобы продолжить.

Нажатие на эти ссылки приводит к просьбам предоставить личную информацию, данные кредитной карты или предлагает вам загрузить набор вредоносных программ и пакетов рекламного ПО.

Понравилась публикация? Тогда делись с друзьями. А также не забудь подписаться на наш канал в Telegram и аккаунт в Twitter, чтобы всегда быть в курсе актуальных новостей и интересных статей!


Понравилась публикация? Тогда делись с друзьями. А также не забудь подписаться на наш канал в Telegram и аккаунт в Twitter, чтобы всегда быть в курсе актуальных новостей и интересных статей!






Great! Next, complete checkout for full access to Эксплойт
Welcome back! You've successfully signed in
You've successfully subscribed to Эксплойт
Success! Your account is fully activated, you now have access to all content
Success! Your billing info has been updated
Your billing was not updated