Websites por trás dos CMSs WordPress e Joomla estão a ser alvo de ataque e utilizadores pelos criminosos para distrubuir variante do ransonware Troldesh, dizem os investigadores do ThreatLabZ.
Os malfeitores estão a usar estes websites para injetar páginas de ransomware e phishing do Troldesh.
Todos os websites vulneráveis estão compreendidos entre as versões 4.8.9 e 5.1.1 do WordPress e com um certificado digital associado ao website malicioso (emitido pela CA Let’s Encrypt ou Cpanel).
Em detalhe, e de acordo com o zscaler, entre os websites comprometidos, 13,6% estão infetados com o Troldesh ransomware, 27,6% contém páginas de phishing e o restante dos websites contém mineradores, adware e redirecionadores mal-intencionados.
Os agentes de ameça estão a usar o diretório oculto .well-know para armazenar a esconder o ransonware nos servidores infetados. Este diretório é geralmente criado pelo administrador do sistema e serve para verificar a propriedade do domínio.
Os websites infectados pelo ransomware contêm ficheiros ficheiros em HTML, ZIP e EXE (.jpg). Os ficheiros HTML devem redirecionar os utilizadores para o download do ficheiro zip, o fcheiro zip contém o malware que é descarregado para o local Temp.
O payload é o ransomware Shade / Troldesh que é responsável por cifrar todos os ficheiros do utilizador com a cifra AES-256 e que acrescenta ao nome do ficheiro alvo no final do processo a extensão: (.ID_of_infected_machine.crypted000007).
“It drops README1.txt to README10.txt on the desktop and changes the wallpaper as shown below”, reads ZScaller blog post.
As páginas de phishing também são armazenadas no diretório .well-know para ocultá-las dos administradores do website e aumentar a vida útil da página de phishing no website comprometido.
As páginas de phishing são geralmente direcionadas ao Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail e outras.