3

Сен

Вымогательское ПО Sodinokibi распространяется через поддельные форумы на взломанных сайтах

Вымогательское ПО Sodinokibi распространяется через поддельные форумы на взломанных сайтах

Пользователь ничего не подозревает, поскольку фальшивое сообщение на форуме связано с содержимым взломанной страницы.

Операторы вымогательского ПО Sodinokibi, также известного как REvil, взламывают сайты на WordPress и внедряют JavaScript-код, который отображает сообщения фальшивого форума «Вопросы и ответы» поверх содержимого исходного сайта. Сообщения содержат якобы «ответ от администратора» сайта с активной ссылкой на установщик вымогательской программы. По данным издания BleepingComputer злоумышленники взламывают сайты и внедряют JS-скрипт в HTML-код. Внедренный URL будет активен для всех посетителей, но сработает только в том случае, если пользователь посещает сайт впервые или не посещал сайт в течение определенного периода времени. При первом посещении сайта появится поддельное сообщение форума «Вопросы и ответы», которое отобразится поверх содержимого web-портала.

Пользователь ничего не заподозрит, поскольку фальшивое сообщение на форуме связано с содержимым взломанной страницы. Если он снова обновит страницу, скрипт не сработает и вместо него отобразится обычное содержимое ресурса. Однако если пользователь не обновит страницу, то увидит вопрос якобы от другого посетителя и ответ администратора с активной ссылкой. При нажатии на ссылку будет загружен zip-архив с другого взломанного сайта. Файл содержит обфусцированный код, загружающий с удаленного сервера большой объем данных, который после расшифровки сохраняется на компьютере в виде GIF-файла. Файл содержит слегка обфусцированную команду PowerShell, используемую для загрузки вымогательского ПО Sodinokibi.

В процессе шифрования злоумышленники удаляют теневые копии файла и в прилагаемой записке указывают требования выкупа и информацию о том, как приобрести дешифровщик.

Поделиться этим постом

похожие

посты