باجافزار Shade از طریق سایتهای وردپرسی و جوملا در حال انتشار است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران ThreatLabZ عملیاتی را شناسایی کردهاند که در آن با هدف قرار دادن سایتهای وردپرسی و جوملا، باجافزار Shade/Troldesh، درپشتی، منتقلکننده و صفحات فیشینگ توزیع میشوند.
سیستمهای مدیریت محتوا مانند وردپرس و جوملا اهداف محبوبی برای مجرمین سایبری هستند، آنان از این سایتها برای تزریق محتوای مخرب استفاده میکنند. هکرها از چندین هزار سایت سوءاستفاده کردند و باجافزار Troldesh و صفحات فیشینگ تزریق کردند.
تمامی سایتهای وردپرسی مورد نفوذ دارای نسخههای بین ۴,۸.۹ تا ۵.۱.۱ هستند و در آنها از پروتکل ACME برای SSL استفاده شده است. در بین سایتهای مورد نفوذ، ۱۳.۶ درصد باجافزار Shade، ۲۷.۶ درصد صفحات فیشینگ و در سایر آنها کاوشگر رمزارز، آگهیافزار و منتقلکنندههای مخرب وجود دارد.
مهاجمان از پوشه مخفی .well-known برای ذخیرهسازی و توزیع باجافزار استفاده کردند. پوشه مخفی .well-known به منظور تایید مالکیت یک دامنه توسط مدیر سایت ایجاد میشود.
سایتهای آلوده به باجافزار Shade حاوی فایلهای HTML، ZIP و EXE (.jpg) هستند. فایلهای HTML کاربران را به دانلود فایل ZIP هدایت میکنند. فایل ZIP یک payload مبهمسازی شده را در آدرس TEMP قربانی قرار میدهد.
این payload دانلود شده، باجافزار Shade/Troldesh است که تمامی فایلهای کاربر را توسط AES-۲۵۶ رمزگذاری میکند و به انتهای نام فایل ID_of_infected_machine.crypted۰۰۰۰۰۷ را اضافه میکند. فایلهای README۱.txt و README۱۰.txt نیز در دسکتاپ قربانی قرار داده میشوند.
صفحات فیشینگ نیز در صفحات مخفی قرار داده میشوند تا از دید مدیر سایت مخفی بمانند. این صفحات مرتبط با Office ۳۶۵، Microsoft، Yahoo، Gmail و غیره هستند.