Злоумышленники используют скрытые служебные папки для заражения посетителей сайтов вымогателем Shade.
Более чем 500 взломанных web-сайтов, работающих на популярных платформах Wordpress и Joomla, распространяют различное вредоносное ПО, в том числе вымогатель Shade (другое название Troldesh), бэкдоры, фишинговые ссылки и другой вредоносный контент. Новую кампанию заметили специалисты из Zscaler. По их словам, для компрометации сайтов злоумышленники используют уязвимости в различных плагинах, темах и расширениях.
В настоящее время неясно, кто является организатором атак. Для своих целей организаторы кампании задействуют скрытые служебные папки на сайтах, использующих защищенное HTTPS-соединение. Данные папки позволяют удостоверяющим центрам (УЦ) получить информацию о домене, однако их могут использовать и злоумышленники для хранения вредоносного ПО.
За последние несколько недель исследователи зафиксировали рост числа угроз, распространяемых посредством скрытых папок. Чаще всего этот способ используется для заражения вымогательским ПО Shade.
«Обычно спам-сообщение содержит ссылку на страницу на скомпрометированном сайте, с которой загружается вредоносный ZIP файл. Если после распаковки архива пользователь откроет содержащийся в нем файл JavaScript, на устройство загрузится программа-вымогатель», - поясняют эксперты.
Отметим, по данным компании Sucuri, в 2018 году примерно 90% атак на системы управления контентом пришлись на сайты под управлением WordPress. Далее со значительным отрывом следуют Magento (4,6%), Joomla (4,3%) и Drupal (3,7%).
Подробнее: https://www.securitylab.ru/news/498561.php