Hackers utilizan directorios ocultos de sitios HTTPS comprometidos para entregar malware

hackers

Los expertos en seguridad de Zscaler descubrieron que los actores de amenazas están utilizando directorios ocultos bien conocidos de sitios HTTPS para almacenar y entregar cargas maliciosas

Los delincuentes están utilizando directorios ocultos "bien conocidos" de sitios HTTPS que ejecutan los sitios web de WordPress y Joomla para almacenar y servir cargas útiles maliciosas.

Los sitios web pirateados se utilizaron para varios propósitos maliciosos, los expertos observaron los sitios web comprometidos de WordPress y Joomla que brindaban servicios de ransomware Shade / Troldesh, mineros de monedas, puertas traseras, y algunas veces participaron en campañas de phishing.

Los sitios de WordPress comprometidos por piratas informáticos ejecutaban las versiones 4.8.9 a 5.1.1 del popular CMS que se ven afectados por una falla de falsificación de solicitud entre sitios (CSRF) que reside en la sección de comentarios de WordPress que está habilitada porpor defectot

Un atacante puede piratear un sitio web que ejecuta una versión vulnerable de WordPress que tiene comentarios habilitados al engañar a un administrador de un sitio objetivo para que visite un sitio web configurado por el atacante.

Según los expertos, la cibercriminales dirigidossitios web que ejecutan complementos y temas de CMS obsoletos o software del lado del servidor. Los sitios web comprometidos utilizaban certificados SSL emitidos por Automatic Certificate Management Environment (ACME)Impulsadas por las autoridades de certificación, como Let's Encrypt , GlobalSign,cPanel, y DigiCert.

"Hemos estado monitoreando los sitios HTTPS comprometidos durante algunas semanas y hemos notado que los atacantes están favoreciendo un conocido directorio oculto presente en el sitio web de HTTPS para almacenar y distribuir ráfagas de phade y páginas de phishing", lee el análisis de Zscaler.

“El directorio /.well-known/ oculto en un sitio web es un prefijo URI para ubicaciones bien conocidas definidas por IETF y comúnmente utilizadas para demostrar la propiedad de un dominio. Los administradores de los sitios web HTTPS que usan ACME para administrar certificados SSL colocan un token único dentro de los directorios /.well-known/acme-challenge/ o /.well-known/pki-validation/ para mostrar a la autoridad de certificación (CA) que ellos controlar el dominio ".

Los actores de amenazas abusaron de un conocido directorio oculto en los sitios HTTPS para almacenar el malware. El directorio es un prefijo URI para ubicaciones conocidas definidas por IETF y utilizadas para demostrar la propiedad de un dominio.

Los administradores de sitios web HTTPS que usan ACME para administrar certificados SSL colocan un token único dentro de la carpeta, para mostrar a la autoridad de certificación que el dominio está bajo su control. La CA escanea esta carpeta en busca de un código que se envió previamente al administrador.

“Los atacantes usan estas ubicaciones para ocultar malware y páginas de phishing a los administradores. "La táctica es efectiva porque este directorio ya está presente en la mayoría de los sitios HTTPS y está oculto, lo que aumenta la vida útil del contenido malicioso / phishing en el sitio comprometido", continúa Zscaler

Compromete los sitios web que entregan la Sombra / Troldesh ransomware incluía tres tipos de archivos, a saber, archivos HTML, ZIP y EXE enmascarados como imágenes .jpg.

Los archivos HTML se utilizan para redirigir a las víctimas para que descarguen archivos ZIP ( reso.zip , rolf.zip y melodías-invertir.cremallera) ese Contiene el archivo de JavaScript.msg.jpg y mensajes.jpg Son archivos EXE que son la sombra. ransomware.

La variante del ransomware Shade / Troldesh involucrado en el ataque usa un cliente TOR para conectarse al C2 y encripta tanto el contenido como el nombre de los archivos seleccionados.

Los atacantes utilizaron páginas de phishing relacionadas con varios servicios y marcas populares, como Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail y otras marcas, según los investigadores de seguridad.

Semrush sigue a tu competencia


Fecha actualización el 2019-04-03. Fecha publicación el 2019-04-03. Categoria: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs Version movil