Исследователи из Zscaler зафиксировали новые вредоносные атаки, полагающиеся на сеть скомпрометированных сайтов WordPress и Joomla. Злоумышленники размещают свои файлы в служебных директориях, используя взломанные сайты для раздачи вымогателя Shade/Troldesh и фишинговых атак.

В атаках задействованы несколько сотен HTTPS-сайтов с SSL-сертификатами, выданными по упрощенной процедуре с использованием протокола аутентификации Automatic Certificate Management Environment (ACME).

Чтобы спрятать сторонний код от администратора сайта, преступники помещают его в папке /.well-known, где хранятся идентификационные ключи ACME. Эта тактика не нова, но весьма эффективна: такая директория есть на многих HTTPS-сайтах, к тому же она скрыта, что увеличивает срок жизни вредоносного контента на взломанных сайтах.

По словам аналитиков, за прошедший месяц на фишинговую активность с зараженных WordPress- и Joomla-сайтов пришлось около 28% инцидентов, а на атаки Shade/Troldesh — 14% случаев. Ранее помимо шифровальщика преступники активно внедряли криптомайнеры, программы для принудительного показа рекламы и вредоносные скрипты-редиректоры.

Взлом сайтов, как полагают эксперты, происходит через бреши в сторонних продуктах: плагинах, дизайнерских темах и расширениях либо серверное ПО. Из угроз, спрятанных в папках /.well-known, исследователи идентифицировали фишинговые страницы, замаскированные под сайты Office 365, DHL, Bank of America, Yahoo, Dropbox, а также рабочие файлы шифровальщика Shade/Troldesh.

Первые инциденты с участием этого зловреда относятся к 2014 году, когда он атаковал пользователей России и Украины. Позже вымогатель отметился инцидентами в Австралии, Японии, Германии, Франции. В 2016-м специалисты создали декриптор, но преступников это не остановило.

Модульный зловред, как и прежде, распространяется через спам, имитирующий коммерческую переписку. Получателю предлагают просмотреть некие документы, открыв вложенный ZIP-архив или скачав его по ссылке. Вместо документов внутри находится сильно обфусцированный JavaScript-загрузчик, который при запуске обращается к взломанному ранее сайту WordPress или Joomla. С этого ресурса он скачивает новый вариант Shade/Troldesh, замаскированный под JPG-изображение.

В 2018 году исследователи обнаружили скачок вредоносной активности, направленной на сайты WordPress. Всего за месяц злоумышленники взломали тысячи ресурсов, чтобы заманить их посетителей на фишинговые страницы или заразить опасным ПО.

Категории: Аналитика, Вредоносные программы, Спам