Los sitios basados en CMS, como WordPress y Joomla, son los objetivos populares de los ciberdelincuentes, secuestran esos sitios e inyectan contenido malicioso.
Los investigadores de ThreatLabZ detectaron una campaña que apunta a los sitios de WordPress y Joomla para distribuir ransomware Shade / Troldesh, puertas traseras, redirectores y una variedad de páginas de phishing.
Los piratas informáticos utilizan para secuestrar varios cientos de sitios de CMS e inyectar el ransomware y las páginas de phishing de Troldesh. Todos los sitios web comprometidos que usan versiones de WordPress entre 4.8.9 y 5.1.1 y SSL emitidos a través del Entorno de gestión de certificados automáticos como Let's Encrypt, Cpanel y otros.
Según zscaler, entre los sitios comprometidos, el 13.6 por ciento contiene ransomware Shade, el 27.6 por ciento contiene páginas de phishing y el resto de los sitios contiene coinminers, adware y redirectores maliciosos.
Los atacantes prefieren el directorio oculto .well-know para almacenar y distribuir ransomware. El directorio oculto .well-know es creado por el administrador del sitio para verificar la propiedad del dominio.
Los sitios infectados con ransomware de Shade contienen archivos HTML, ZIP y EXE (.jpg), los archivos HTML deben redirigir a los usuarios en la descarga del archivo zip, el archivo zip contiene información muy clara que descarga la carga útil a la ubicación Temp.
La carga útil descargada es el ransomware Shade / Troldesh que encripta todos los archivos de usuarios con AES-256 y agrega un nombre de archivo (.ID_of_infected_machine.crypted000007).
"Coloca README1.txt en README10.txt en el escritorio y cambia el fondo de pantalla como se muestra a continuación", lee la publicación del blog ZScaller.
Páginas de phishing
Las páginas de phishing también se almacenan en los directorios ocultos para ocultarlas a los administradores del sitio web y para aumentar la vida útil de la página de phishing en el sitio comprometido.
Las páginas de phishing están relacionadas con Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail y otros.
La semana del 25 de Marzo, las investigaciones descubrieron una vulnerabilidad de XSS almacenada en el complemento para compartir en redes sociales llamado " Guerra Social " que permite a los atacantes hacerse cargo de los sitios web de WordPress vulnerables.
Fecha actualización el 2021-04-01. Fecha publicación el 2019-04-01. Categoría: wordpress Autor: Oscar olg Mapa del sitio Fuente: gbhackers Version movil