Af Eskil Sørensen, 12/08/20
I en ny kampagne er det lykkedes udefrakommende at kompromittere officielle websteder fra regeringer og universiteter til at indeholde artikler om, hvordan man hacker sig ind på konti på sociale medier.
Det skriver Bleeping Computer efter at have fået et tip om, at FN-organisationen UNESCOs officielle hjemmeside skulle indeholde en artikel om, hvordan man hacker Instagram-konti.
Artiklen hos UNESCO indeholdt et indlejret link, der fører en til en hjemmeside, der foregiver at indeholde et værktøj til hack af Instagram-konti. Hvis man bruger værktøjet, kommer man igennem en række falske trin, der afsluttes, ved at man skal downloade en fil for færdiggøre hacket. Klikker man på download-linket, kommer man i stedet til websteder, der anmoder om personlige informationer, kreditkortinformationer eller opfordrer til download af forskellig malware og adware. En af disse skulle ifølge kilden til historien, Cyble, være Emotet.
Folkene bag kampagnen har virkelig været kreative, for de har formået at lave søgemaskineoptimering, hvorved de har sikret sig, at hackerværktøjerne står øverst ved en søgning via Google.
Udnytter sårbarheder i CMS’er
Ifølge Bleeping Computer er det sårbarheder i CMS’erne hos lokale regeringer og universiteter, der kan udnyttes af eksterne til at publicere egne hostede artikler. Udover UNESCO har hjemmesider hos lokale regeringer og universiteter i USA været anvendt til publicering af de falske artikler. Øjensynligt er en af de almindelige metoder, at man bruger Drupals Webform-komponent til at uploade PDF-filer med links til de falske hackingværktøjer. Dvs. at man udnytter dårlig sikkerhed på offentlige myndigheder og organisationers hjemmeside til at promovere egen sag. Således som hacktivister almindeligvis gør.
Det interessante er her, at folkene bag kampagnen laver en slags dobbeltsnyd. Ved at publicere artikler om hackingværktøjer på officielle hjemmesider, giver de hackerværktøjerne et større publikum og pirrer såkaldte almindelige brugeres nysgerrighed.
Den almindelige bruger fatter måske interesse for artiklen og vil se, hvor nemt det i virkeligheden er. Fristelsen kan måske være for stor for brugeren til at stoppe, mens legen er god, og det ender med, at man selv bliver offer for et hack, når man downloader filen i det sidste trin.
Dette er meget udspekuleret.
For en god ordens skyld skal det nævnes, at DKCERTs nyhedsredaktør ikke selv har prøvet værktøjet, men baserer udelukkende denne artikel på Bleeping Computers research.
Links:
https://www.bleepingcomputer.com/news/security/hacked-government-college...