سوءاستفادهی هکرها از سایتهای مبتنی بر وردپرس و جوملا برای توزیع باجافزار Shade
سایتهای مبتنی بر سیستمهای مدیریت محتوا (CMS)، مانند وردپرس و جوملا، از جمله اهداف محبوب برای مجرمان سایبری میباشند. مهاجمان با هدف قرار دادن این سایتها و تسخیر آنها، به این سایتها محتوای مخرب تزریق میکنند.
محققان ThreatLabZ، کمپینی را کشف نمودند که به منظور توزیع باجافزار Shade/Troldesh، دربهای پشتی و انواع صفحات فیشینگ، سایتهای مبتنی بر وردپرس و جوملا را هدف قرار میدهند.
هکرها از صدها سایت مبتنی بر CMS استفاده نموده و باجافزار Troldesh و صفحات فیشینگ را به آنها تزریق مینمایند. بر اساس گزارشات، تمام وبسایتهای تسخیر شده، از وردپرس نسخه ۴.۸.۹ تا ۵.۱.۱ و از SSLهای رایگان مانند Let’s Encrypt، Cpanel و غیره استفاده کردهاند.
به گفتهی zscaler، از میان سایتهای تسخیر شده، ۶.۱۳ درصد آلوده به باجافزار Shade و ۲۷.۶ درصد آلوده به صفحات فیشینگ، و بقیه سایتها حاوی استخراجکننده ارز دیجیتال، پیامهای تبلیغاتی و هدایتگرهای مخرب میباشند.
مهاجمان از دایرکتوری پنهان well-know. برای ذخیره و توزیع باجافزار استفاده میکنند. دایرکتوری پنهان well-know. توسط مدیریت وبسایت، برای تأیید مالکیت دامنه ایجاد میشود.
آلودگی به باجافزار Shade
سایتهای آلوده به باجافزار Shade حاوی فایلهای HTML، ZIP و EXE (.jpg) میباشند، که فایلهای HTML به منظور هدایت کاربران برای دانلود فایل zip استفاده میشوند، و فایلهای zip حاوی محتوای بسیار مبهمی هستند که payload را در محل Temp دانلود میکنند.
payload دانلود شده همان باجافزار Shade/Troldesh است که تمام فایلهای کاربران را با الگوریتم رمزنگاری AES-256 رمز نموده و یک نام فایل ID_of_infected_machine.crypted000007. را اضافه مینماید.
در پست وبلاگ zscaler امده است، "این باجافزار فایلهای README1.txt تا README10.txt را بر روی دسکتاپ قرار داده و تصویر زمینه را نیز همانطور که در تصویر زیر آمده است تغییر میدهد."
مهاجمان چگونه باجافزار Shade را توزیع میکنند؟
• مهاجمان باجافزار Shade را از طریق کمپین فیشینگ malspam توزیع مینمایند.
• به نظر میرسد ایمیلهای فیشینگی که به عنوان یک دستور بروزرسانی هستند از یک سازمان روسی آمدهاند.
• ایمیلها شامل یک پیوست ZIP، یا لینک به یک صفحه هدایتگر HTML میباشند که فایل ZIP را دانلود میکند.
• فایل ZIP حاوی یک فایل جاوااسکریپت بسیار مبهم است.
• فایل جاوااسکریپت برای دانلود و اجرای باجافزار Shade تلاش میکند.
صفحات فیشینگ
صفحات فیشینگ نیز در دایرکتوریهای پنهان ذخیره شدهاند تا آنها را از دید مدیران وبسایت مخفی نموده و طول عمر صفحات فیشینگ را در سایتهای تسخیر شده افزایش دهند.
محققان صفحات فیشینگ جعلی که مربوط به Office 365، Microsoft، DHL، Dropbox، Bank of America، Yahoo، Gmail و غیره میباشند را کشف نمودهاند که در دایرکتوریهای پنهان SSL-validated مستقر شدهاند.
به مدیران سایتهای مبتنی بر سیستمهای مدیریت محتوا توصیه میشود که سایتهای خود را به طور منظم بروزرسانی نموده و برای رفع آسیبپذیریهایی که هنوز وصله نشدهاند از وصلههای مجازی استفاده نمایند. همچنین به طور متناوب وبسایتها را از لحاظ وجود آسیبپذیریهای قابل اکسپلویت بررسی نموده و پلاگینهای قدیمی یا بلااستفاده را حذف نمایند. مدیران باید محدودیتهای قویتری را برای دسترسی مدیران محلی در نظر بگیرند.
و اما توصیه به کاربران این است که بیشتر مراقب لینکها، پیوستها و به ویژه ایمیلهای ناخواسته باشند. گیرندگان ایمیلهای اسپم باید به منظور جلوگیری از آلودگی توسط بدافزارها یا هدایت به سایتهای فیشینگ چنین ایمیلهایی را نادیده بگیرند. و همچنین باید اقدامات امنیتی اولیه را در برابر تهدیدات مربوط به ایمیلها انجام دهند.
منبع خبر: