Οι ιστότοποι που βασίζονται στο CMS, όπως το WordPress και το Joomla, είναι οι αγαπημένοι στόχοι των hackers. Καταλαμβάνουν αυτούς τους ιστότοπους και εισάγουν κακόβουλο περιεχόμενο.
Οι ερευνητές του ThreatLabZ ανίχνευσαν μια εκστρατεία επιθέσεων που στοχεύει τους ιστότοπους WordPress και Joomla διανέμοντας Shade / Troldesh ransomware, backdoors, redirectors και διάφορες σελίδες phishing.
Shade / Troldesh ransomware
Οι hackers έκαναν hijack αρκετές εκατοντάδες τοποθεσίες CMS μολύνοντας τις με Troldesh ransomware και phishing σελίδες. Οι ιστότοποι που χρησιμοποιούν τις εκδόσεις WordPress μεταξύ 4.8.9 και 5.1.1 και αυτοί που εκδίδονται μέσω του Automatic Certificate Management Environment όπως το Let’s Encrypt, το Cpanel πρέπει να δώσουν μεγάλη προσοχή στο γεγονός.
Μεταξύ των μολυσμένων ιστότοπων, το 13,6% περιέχει ransomware Shade, το 27,6% περιέχει σελίδες ηλεκτρονικού ψαρέματος (phishing) και οι υπόλοιποι περιέχουν coinminers, adware και κακόβουλους redirectors.
Οι hackers χρησιμοποιούν κρυφό directory για την αποθήκευση και τη διανομή ransomware. Ο κρυφός directory .well-know δημιουργείται από τον διαχειριστή ιστότοπου για να επαληθεύσει την ιδιοκτησία του domain.
Οι μολυσμένες τοποθεσίες από το Shade ransomware περιέχουν αρχεία HTML, ZIP και EXE (.jpg). Τα αρχεία HTML πρόκειται να ανακατευθύνουν τους χρήστες στη λήψη του αρχείου zip, το αρχείο zip περιέχει εξαιρετικά ασαφές περιεχόμενο που μεταφορτώνει το ωφέλιμο φορτίο στη θέση Temp.
Το ληφθέν φορτίο είναι, ουσιαστικά, το Shade / Troldesh ransomware που κρυπτογραφεί όλο το αρχείο των χρηστών με AES-256 και προσθέτει ένα όνομα αρχείου (.ID_of_infected_machine.crypted000007).
Phishing pages
Οι phishing σελίδες αποθηκεύονται επίσης στα κρυμμένα directories για να αποκρύπτονται από τους διαχειριστές των ιστότοπων και να αυξηθεί η διάρκεια παραμονής τους στην ιστοσελίδα.
Οι phishing σελίδες σχετίζονται με Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail και άλλα.
