باج‌افزار Shade از طریق سایت‌های وردپرسی و جوملا در حال انتشار است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران ThreatLabZ عملیاتی را شناسایی کرده‌اند که در آن با هدف قرار دادن سایت‌های وردپرسی و جوملا، باج‌افزار Shade/Troldesh، درپشتی، منتقل‌کننده و صفحات فیشینگ توزیع می‌شوند.

سیستم‌های مدیریت محتوا مانند وردپرس و جوملا اهداف محبوبی برای مجرمین سایبری هستند، آنان از این سایت‌ها برای تزریق محتوای مخرب استفاده می‌کنند. هکرها از چندین هزار سایت سوء‌استفاده کردند و باج‌افزار Troldesh و صفحات فیشینگ تزریق کردند.

تمامی سایت‌های وردپرسی مورد نفوذ دارای نسخه‌های بین ۴,۸.۹ تا ۵.۱.۱ هستند و در آنها از پروتکل ACME برای SSL استفاده شده است. در بین سایت‌های مورد نفوذ، ۱۳.۶ درصد باج‌افزار Shade، ۲۷.۶ درصد صفحات فیشینگ و در سایر آنها کاوش‌گر رمزارز، آگهی‌افزار و منتقل‌کننده‌های مخرب وجود دارد.

مهاجمان از پوشه مخفی .well-known برای ذخیره‌سازی و توزیع باج‌افزار استفاده کردند. پوشه مخفی .well-known به منظور تایید مالکیت یک دامنه توسط مدیر سایت ایجاد می‌شود.

سایت‌های آلوده به باج‌افزار Shade حاوی فایل‌های HTML، ZIP و EXE (.jpg) هستند. فایل‌های HTML کاربران را به دانلود فایل ZIP هدایت می‌کنند. فایل ZIP یک payload مبهم‌سازی شده را در آدرس TEMP قربانی قرار می‌دهد.

این payload دانلود شده، باج‌افزار Shade/Troldesh است که تمامی فایل‌های کاربر را توسط AES-۲۵۶ رمزگذاری می‌کند و به انتهای نام فایل ID_of_infected_machine.crypted۰۰۰۰۰۷ را اضافه می‌کند. فایل‌های README۱.txt و README۱۰.txt نیز در دسکتاپ قربانی قرار داده می‌شوند.

صفحات فیشینگ نیز در صفحات مخفی قرار داده می‌شوند تا از دید مدیر سایت مخفی بمانند. این صفحات مرتبط با Office ۳۶۵، Microsoft، Yahoo، Gmail و غیره هستند.