سوءاستفاده‌ی هکرها از سایت‌های مبتنی بر وردپرس و جوملا برای توزیع باج‌افزار Shade

سایت‌های مبتنی بر سیستم‌های مدیریت محتوا (CMS)، مانند وردپرس و جوملا، از جمله اهداف محبوب برای مجرمان سایبری می‌باشند. مهاجمان با هدف قرار دادن این سایت‌ها و تسخیر آن‌ها، به این سایت‌ها محتوای مخرب تزریق می‌کنند.

محققان ThreatLabZ، کمپینی را کشف نمودند که به منظور توزیع باج‌افزار Shade/Troldesh، درب‌های پشتی و انواع صفحات فیشینگ، سایت‌های مبتنی بر وردپرس و جوملا را هدف قرار می‌دهند.
هکرها از صدها سایت مبتنی بر CMS استفاده نموده و باج‌افزار Troldesh و صفحات فیشینگ را به آن‌ها تزریق می‌نمایند. بر اساس گزارشات، تمام وب‌سایت‌های تسخیر شده، از وردپرس نسخه ۴.۸.۹ تا ۵.۱.۱ و از SSLهای رایگان مانند Let’s Encrypt، Cpanel و غیره استفاده کرده‌اند.

به گفته‌ی zscaler، از میان سایت‌های تسخیر شده، ۶.‏۱۳ درصد آلوده به باج‌افزار Shade و ۲۷.۶ درصد آلوده به صفحات فیشینگ، و بقیه سایت‌ها حاوی استخراج‌کننده ارز دیجیتال، پیام‌های تبلیغاتی و هدایتگرهای مخرب می‌باشند.
مهاجمان از دایرکتوری پنهان well-know. برای ذخیره و توزیع باج‌افزار استفاده می‌کنند. دایرکتوری پنهان well-know. توسط مدیریت وب‌‎سایت، برای تأیید مالکیت دامنه ایجاد می‌شود.

آلودگی به باج‌افزار Shade
سایت‌های آلوده به باج‌افزار Shade حاوی فایل‌های HTML، ZIP و EXE ‪(.jpg)‬ می‌باشند، که فایل‌های HTML به منظور هدایت کاربران برای دانلود فایل zip استفاده می‌شوند، و فایل‌های zip حاوی محتوای بسیار مبهمی هستند که payload را در محل Temp دانلود می‌کنند.
payload دانلود شده همان باج‌افزار  Shade/Troldesh است که تمام فایل‌های کاربران را با الگوریتم رمزنگاری AES-256 رمز نموده و یک نام فایل ID_of_infected_machine.crypted000007. را اضافه می‌نماید.
در پست وبلاگ zscaler امده است، "این باج‌افزار فایل‌های README1.txt تا README10.txt را بر روی دسکتاپ قرار داده و تصویر زمینه را نیز همانطور که در تصویر زیر آمده است تغییر می‌دهد."

مهاجمان چگونه باج‌افزار Shade را توزیع می‌کنند؟
•    مهاجمان باج‌افزار Shade را از طریق کمپین فیشینگ malspam توزیع می‌نمایند.
•    به نظر می‌رسد ایمیل‌های فیشینگی که به عنوان یک دستور بروزرسانی هستند از یک سازمان روسی آمده‌اند.
•    ایمیل‌ها شامل یک پیوست ZIP، یا لینک به یک صفحه هدایتگر HTML می‌باشند که فایل ZIP را دانلود می‌کند.
•    فایل ZIP حاوی یک فایل جاوااسکریپت بسیار مبهم است.
•    فایل جاوااسکریپت برای دانلود و اجرای باج‌افزار Shade تلاش می‌کند.

صفحات فیشینگ
صفحات فیشینگ نیز در دایرکتوری‌های پنهان ذخیره شده‌اند تا آن‌ها را از دید مدیران وب‎‌سایت مخفی نموده و طول عمر صفحات فیشینگ را در سایت‌های تسخیر شده افزایش دهند.

محققان صفحات فیشینگ جعلی که مربوط به Office 365، Microsoft، DHL، Dropbox، Bank of America، Yahoo، Gmail و غیره می‌باشند را کشف نموده‌اند که در دایرکتوری‌های پنهان SSL-validated مستقر شده‌اند.

 به مدیران سایت‌های مبتنی بر سیستم‌های مدیریت محتوا توصیه می‌شود که سایت‌های خود را به طور منظم بروزرسانی نموده و برای رفع آسیب‌پذیری‌هایی که هنوز وصله نشده‌اند از وصله‌های مجازی استفاده نمایند. همچنین به طور متناوب وب‌سایت‌ها را از لحاظ وجود آسیب‌پذیری‌های قابل اکسپلویت بررسی نموده و پلاگین‌های قدیمی یا بلااستفاده را حذف نمایند. مدیران باید محدودیت‌های قوی‌تری را برای دسترسی مدیران محلی در نظر بگیرند.

 و اما توصیه به کاربران این است که بیشتر مراقب لینک‌ها، پیوست‌ها و به ویژه ایمیل‌های ناخواسته باشند. گیرندگان ایمیل‌های اسپم باید به منظور جلوگیری از آلودگی توسط بدافزارها یا هدایت به سایت‌های فیشینگ چنین ایمیل‌هایی را نادیده بگیرند. و همچنین باید اقدامات امنیتی اولیه را در برابر تهدیدات مربوط به ایمیل‌ها انجام دهند.

منبع خبر:

https://gbhackers.com/wordpress-and-joomla-ransomware

https://cyware.com/news/several-compromised-wordpress-and-joomla-sites-serve-shade-ransomware-and-backdoors-def30dfa

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/compromised-wordpress-and-joomla-sites-found-distributing-malware-to-visitors