TENDÊNCIAS vetores de ataque para fornecer conteúdo fraudulento a visitantes desconhecidos do site . de entrega para outros sindicatos do crime cibernético e , assim , permitir ataques subsequentes .
Mohammed Al-Moneer , diretor Regional META da Infoblox
Para conseguir isso , eles primeiro detectam sites que mostram vulnerabilidades de script entre sites ( XSS ) em temas ou plug-ins do WordPress e , em seguida , injetam código JavaScript malicioso neles . Quando as vítimas visitam esses sites , elas são direcionadas a uma página de destino que hospeda conteúdo fraudulento , por meio de um ou mais domínios de redirecionamento intermediários que também são controlados pelos atores .
Além disso , como forma de evitar a detecção , os atores integraram vários recursos em seu JavaScript e exigem as seguintes condições do usuário para acionar o redirecionamento :
• O usuário deve visitar o site WordPress a partir de um mecanismo de busca . Por exemplo , o URL do referenciador pode ser https :// www . google . com /;
• Os cookies são ativados no navegador da web do usuário ;
• O usuário não visitou uma página da Web comprometida com o VexTrio nas últimas 24 horas .
O VexTrio abusa principalmente de sites WordPress vulneráveis para fornecer conteúdo indesejado aos visitantes . A incorporação de código JavaScript malicioso em blogs da Web frequentemente visitados e outros sites populares , mas vulneráveis , ajuda os atores a ampliar seu alcance . A Infoblox avalia que a campanha VexTrio DDGA pode servir como um vetor
A Infoblox recomenda as seguintes ações para proteção contra esse tipo de ataque :
• Desativar completamente o JavaScript em navegadores da Web ou ativá-lo apenas para sites confiáveis pode ajudar a mitigar os ataques empregados pelos agentes do VexTrio , que aproveitam o uso do JavaScript para executar suas tarefas ;
• Considere o uso de um programa bloqueador de anúncios para bloquear determinados malwares ativados por anúncios pop-up . Juntamente com um bloqueador de anúncios , considere usar a extensão da Web NoScript , que permite que JavaScript e outros conteúdos potencialmente nocivos sejam executados apenas em sites confiáveis para reduzir a superfície de ataque disponível para os agentes ;
• A implementação de feeds RPZ da Infoblox em firewalls pode interromper a conexão de atores no nível DNS , pois todos os componentes descritos neste relatório ( sites comprometidos , domínios de redirecionamento intermediários , domínios DDGA e páginas de destino ) requerem o protocolo DNS . O TIG detecta esses componentes diariamente e os adiciona aos feeds RPZ da Infoblox .
• Aproveitar o serviço Threat Insight da Infoblox , que executa análises de streaming em tempo real em consultas de DNS ao vivo , pode fornecer cobertura de alta segurança e proteção contra ameaças baseadas em DGA e DDGA . p
26 INTELLIGENTCIO AMÉRICA LATINA www . intelligentcio . com / latam-pt