Websites por trás dos CMSs WordPress e Joomla estão a ser alvo de ataque e utilizadores pelos criminosos para distrubuir variante do ransonware Troldesh, dizem os investigadores do ThreatLabZ.
Os malfeitores estão a usar estes websites para injetar páginas de ransomware e phishing do Troldesh.
Todos os websites vulneráveis estão compreendidos entre as versões 4.8.9 e 5.1.1 do WordPress e com um certificado digital associado ao website malicioso (emitido pela CA Let’s Encrypt ou Cpanel).
Em detalhe, e de acordo com o zscaler, entre os websites comprometidos, 13,6% estão infetados com o Troldesh ransomware, 27,6% contém páginas de phishing e o restante dos websites contém mineradores, adware e redirecionadores mal-intencionados.
Os agentes de ameça estão a usar o diretório oculto .well-know para armazenar a esconder o ransonware nos servidores infetados. Este diretório é geralmente criado pelo administrador do sistema e serve para verificar a propriedade do domínio.
Os websites infectados pelo ransomware contêm ficheiros ficheiros em HTML, ZIP e EXE (.jpg). Os ficheiros HTML devem redirecionar os utilizadores para o download do ficheiro zip, o fcheiro zip contém o malware que é descarregado para o local Temp.
O payload é o ransomware Shade / Troldesh que é responsável por cifrar todos os ficheiros do utilizador com a cifra AES-256 e que acrescenta ao nome do ficheiro alvo no final do processo a extensão: (.ID_of_infected_machine.crypted000007).
“It drops README1.txt to README10.txt on the desktop and changes the wallpaper as shown below”, reads ZScaller blog post.
As páginas de phishing também são armazenadas no diretório .well-know para ocultá-las dos administradores do website e aumentar a vida útil da página de phishing no website comprometido.
As páginas de phishing são geralmente direcionadas ao Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail e outras.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.