Операторы шифровальщика Sodinokibi продвигают его через фальшивые веб-страницы, которые они разворачивают на взломанных WordPress-сайтах методом оверлея.

Как проходят атаки Sodinokibi через взломанные сайты

Об угрозе сообщил в Twitter независимый ИБ-эксперт под ником @SecurityAura. По его данным, преступники внедряют в HTML-код ресурса JavaScript-сценарий, который меняет оформление и контент страницы на окно интернет-форума. Содержание постов при этом подгоняется под тему атакованного сайта — некий пользователь якобы интересуется вопросом, который освещается на взломанной странице, «администратор» дает ему ссылку на нужный материал. Для большей убедительности злоумышленники сочинили несколько последующих постов с благодарностями за помощь.

На самом деле приведенный URL ведет на архив с загрузчиком вымогателя Sodinokibi. Название файла, как и наименование JavaScript-зловреда внутри, совпадает с темой страницы, на которой размещен ложный форум. Если жертва открывает архив, программа соединяется с удаленным сервером и получает оттуда зашифрованный пакет данных.

Он превращается в GIF-файл со встроенной PowerShell-командой. Ее выполнение запускает библиотеку Sodinokibi и блокирует пользовательские данные. Параллельно зловред удаляет теневые тома Windows, чтобы затруднить восстановление информации.

Эксперты отмечают, что, хотя вредоносный JavaScript-компонент неизменно загружается на взломанных ресурсах, атакам подвергаются не все пользователи. Фальшивое содержимое появляется, только если посетитель заходит на сайт в первый раз. При обновлении на экране отображается настоящая страница.

Демонстрация атаки — после обновления страницы ложный форум уже не появляется

Специалисты ожидают, что организаторы вымогательских атак будут изобретать все более оригинальные способы маскировки. К этому их подталкивает растущая бдительность пользователей и успехи борцов с шифровальщиками. Чтобы не стать жертвой преступников, эксперты рекомендуют использовать современное антивирусное ПО с функцией поведенческого анализа.

В июне сообщалось об атаке Sodinokibi на три MSP-компании, из-за чего пострадали сразу несколько их заказчиков. Операторы зловреда взломали консоль для удаленного доступа к IT-инфраструктурам и загрузили шифровальщика на устройства провайдеров.

Категории: Вредоносные программы