Более чем 500 взломанных web-сайтов, работающих на популярных платформах WordPress и Joomla, распространяют различное вредоносное ПО, в том числе вымогатель Shade (другое название Troldesh), бэкдоры, фишинговые ссылки и другой вредоносный контент. Новую кампанию заметили специалисты из Zscaler. По их словам, для компрометации сайтов злоумышленники используют уязвимости в различных плагинах, темах и расширениях.

В настоящее время неясно, кто является организатором атак. Для своих целей организаторы кампании задействуют скрытые служебные папки на сайтах, использующих защищенное HTTPS-соединение. Данные папки позволяют удостоверяющим центрам (УЦ) получить информацию о домене, однако их могут использовать и злоумышленники для хранения вредоносного ПО.

За последние несколько недель исследователи зафиксировали рост числа угроз, распространяемых посредством скрытых папок. Чаще всего этот способ используется для заражения вымогательским ПО Shade.

«Обычно спам-сообщение содержит ссылку на страницу на скомпрометированном сайте, с которой загружается вредоносный ZIP файл. Если после распаковки архива пользователь откроет содержащийся в нем файл JavaScript, на устройство загрузится программа-вымогатель», — поясняют эксперты.

Отметим, по данным компании Sucuri, в 2018 году примерно 90% атак на системы управления контентом пришлись на сайты под управлением WordPress. Далее со значительным отрывом следуют Magento (4,6%), Joomla (4,3%) и Drupal (3,7%).

Источник: securitylab.ru