Вымогатель Shade наносит удар через взломанные сайты
Исследователи ThreatLabZ обнаружили вредоносные кампании, построенные на уязвимостях движков WordPress и Joomla. Злоумышленники размещают опасное ПО в служебных директориях, используя взломанные сайты для рассылки вымогателя Shade/Troldesh и фишинговых атак.
Атаки направлены против HTTPS-сайтов с SSL-сертификатами, работающими по протоколу Automatic Certificate Management Environment (ACME). Преступники помещают нежелательное ПО в скрытой папке /.well-known, где хранятся эти сертификаты и другая служебная информация. Директория с таким адресом есть на всех WordPress- и Joomla-ресурсах. Администраторы могут подолгу не замечать посторонние компоненты в скрытых папках, из-за чего такие кампании дольше остаются незамеченными.
По словам аналитиков, за прошедший месяц на фишинговую активность с зараженных WordPress- и Joomla-сайтов пришлось около 28% инцидентов, а на атаки Shade/Troldesh — 14% случаев. Ранее помимо шифровальщика преступники активно распространяли скрытые криптомайнеры, рекламные зловреды и средства принудительной переадресации пользователей.
Первичное заражение происходит через бреши в сторонних продуктах: плагинах, дизайнерских темах и расширениях. Атакующие эксплуатировали уязвимости этих компонентов, чтобы получить доступ к папке /.well-known и разместить в ней вредоносное ПО. В эту директорию злоумышленники помещали фишинговые страницы, замаскированные под сайты Office 365, DHL, Bank of America, Yahoo, Gmail, и рабочие файлы зловреда.
В качестве вымогателя преступники использовали хорошо известный экспертам модульный шифровальщик Shade/Troldesh. Первые инциденты с его участием относятся к 2014 году, когда он атаковал пользователей России и Украины. Позже вымогатель отметился инцидентами в Австралии, Японии, Германии, Франции. В 2016-м специалисты создали декриптор, но преступников это не остановило.
Как и прежде, атакующие распространяют зловред через спам, выдавая вредоносные письма под коммерческую переписку. Отправители предлагают пользователю просмотреть некие документы, для чего нужно открыть ZIP-архив из вложения или скачать его по ссылке в сообщении. Вместо документов внутри находится сильно обфусцированный Javascript-загрузчик, который при запуске обращается к взломанному ранее WordPress- или Joomla-сайту. С этого ресурса он скачивает исполняемые файлы Shade/Troldesh, замаскированные под картинки JPG.
В 2018 году исследователи обнаружили скачок вредоносной активности, направленной на сайты под управлением WordPress. Всего за месяц злоумышленники взломали тысячи ресурсов, чтобы заманить их посетителей на фишинговые страницы и заразить опасным ПО.
Источник: https://threatpost.ru/shade-ransomware-attacks-from-hacked-websites/32033/
