هشدارهای افتایی
پژوهشگران ThreatLabZ عملیاتی را شناسایی کرده‌اند که در آن با هدف قرار دادن سایت‌های وردپرسی و جوملا، باج‌افزار Shade/Troldesh، درپشتی، منتقل‌کننده و صفحات فیشینگ توزیع می‌شوند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی GBHackers، سیستم‌های مدیریت محتوا مانند وردپرس و جوملا اهداف محبوبی برای مجرمین سایبری هستند، آنان از این سایت‌ها برای تزریق محتوای مخرب استفاده می‌کنند.
هکرها از چندین هزار سایت سوء استفاده کردند و باج‌افزار Troldesh و صفحات فیشینگ تزریق کردند. 
تمامی سایت‌های وردپرسی مورد نفوذ دارای نسخه‌های بین 4.8.9 تا 5.1.1 هستند و در آنها از پروتکل ACME برای SSL استفاده شده است. در بین سایت‌های مورد نفوذ، 13.6 درصد باج‌افزار Shade، 27.6 درصد صفحات فیشینگ و در سایر آنها کاوش‌گر رمزارز، آگهی‌افزار و منتقل‌کننده‌های مخرب وجود دارد.
مهاجمین از پوشه مخفی .well-known برای ذخیره‌سازی و توزیع باج‌افزار استفاده کردند. پوشه مخفی .well-known به منظور تایید مالکیت یک دامنه توسط مدیر سایت ایجاد می‌شود.
سایت‌های آلوده به باج‌افزار Shade حاوی فایل‌های HTML، ZIP و EXE (.jpg) هستند. فایل‌های HTML کاربران را به دانلود فایل ZIP هدایت می‌کنند. فایل ZIP یک payload مبهم‌سازی شده را در آدرس TEMP قربانی قرار می‌دهد.
این payload دانلود شده، باج‌افزار Shade/Troldesh است که تمامی فایل‌های کاربر را توسط AES-256 رمزگذاری می‌کند و به انتهای نام فایل ID_of_infected_machine.crypted000007 را اضافه می‌کند. فایل‌های README1.txt و README10.txt نیز در دسکتاپ قربانی قرار داده می‌شوند.
صفحات فیشینگ نیز در صفحات مخفی قرار داده می‌شوند تا از دید مدیر سایت مخفی بمانند. این صفحات مرتبط با Office 365، Microsoft، Yahoo، Gmail و غیره هستند.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.