Cientos de sitios web comprometidos de Wordpress y Joomla están entregando malware a los visitantes


Los investigadores ven un aumento en los dominios comprometidos que intentan entregar cargas útiles maliciosas, como el ransomware Shade y los enlaces de phishing.

Los sitios web creados en dos de los sistemas de administración de contenido más populares utilizados en la publicación están siendo pirateados y explotados para entregar ransomware y otro malware a los visitantes.

Los delincuentes cibernéticos están explotando vulnerabilidades en complementos, temas y extensiones en los sitios de Wordpress y Joomla y los están utilizando para ofrecer el ransomware Shade y otro contenido malicioso.

Los investigadores de la compañía de seguridad Zscaler han detallado cómo los atacantes están utilizando un directorio oculto en HTTPS con fines maliciosos. Este conocido directorio es comúnmente usado por los propietarios de sitios web para demostrar la propiedad del dominio a la autoridad de certificación que busca el código para reconocer que el dominio está validado.

Sin embargo, al usar exploits para obtener acceso a estas páginas ocultas, los atacantes pueden usarlas para ocultar malware y otro contenido malicioso de los administradores de sitios web.

Durante las últimas semanas, los investigadores han detectado un aumento de amenazas en el directorio oculto, con Shade ransomware, también conocido como Troldesh, la amenaza más común implementada de esta manera.

"Los correos electrónicos de spam generalmente contienen un enlace a la página del redirector HTML alojado en el sitio comprometido que descarga el archivo zip malicioso. El usuario necesita abrir el archivo JavaScript dentro del ZIP y este archivo JavaScript descargará el ransomware del sitio comprometido y lo ejecutará. "Deepen Desai, vicepresidente de investigación y operaciones de seguridad en Zscaler, dijo a ZDNet.

Se han comprometido más de 500 sitios web y se han realizado miles de intentos para eliminar ransomware, enlaces de phishing y otro contenido malicioso.

Mientras tanto, las páginas de phishing se alojan en directorios ocultos validados por SSL y emergen en un esfuerzo por engañar a la víctima potencial para que entregue sus nombres de usuario y contraseñas.

Los sitios de Wordpress comprometidos están usando las versiones 4.8.9 a 5.1.1 y tienden a usar temas CMS obsoletos o software del lado del servidor que, según los investigadores, probablemente sea la razón del compromiso.

No se sabe quién está detrás de la campaña cibernética, pero Zscaler está trabajando para informar a los propietarios de los sitios web sobre los ataques. La lista completa de Indicadores de Compromiso está disponible en el análisis del ataque.



No olvides Compartir...
Siguenos en twitter: @disoftin

Publicar un comentario

0 Comentarios