ThreatLabZ: Siti WordPress e Joomla compromessi veicolano il ransomware Shade (Troldesh), altri malware e pagine phishing. Il fenomeno è in crescita

Il cybercrime usa siti WordPress e Joomla compromessi per diffondere il malware Shade (Troldesh). Lo hanno scoperto i ricercatori di cyber security del ThreatLabZ, rilevando che all’interno di diversi CMS (Content Management Sites) sono stati inseriti ransomware, backdoor, redirectors e vari tipi di pagine phishing. Tempo fa una campagna di questo tipo aveva colpito la Russia e altri paesi. I siti compromessi della piattaforma di blogging fanno parte delle versioni dalla 4.8.9 alla 5.1.1. e usano certificati SSL emessi da autorità come Let’s Encrypt, GlobalSign, cPanel e DigiCer. Inoltre, potrebbero avere temi o plugin datati, che hanno permesso agli attori malevoli di lanciare con successo cyber attacchi e quindi di violarli. Peraltro, il fenomeno è in forte crescita. Non a caso, nelle attività bloccate a febbraio dal cloud di Z Scaler, il 13,6% sono legate a Shade, il 26,6% a pagine di phishing e il resto a coinminer, adware e redirectors malevoli.

Gli esperti di cyber security: I criminali informatici prediligono la directory nascosta “well-known”, presente sui siti HTTPS per diffondere i codici malevoli

Secondo gli esperti di cyber security, gli attori del cybercrime usano soprattutto una directory presente sui siti HTTPS per immagazzinare e diffondere il ransomware Shade, vari malware e le pagine di phishing. Questa è una “hidden /.well-known/ directory”. E’ un prefisso usato comunemente per dimostrate il possesso di un dominio. Gli amministratori che usano ACME per gestire i certificati SSL, inseriscono un token univoco all’interno delle directories “/.well-known/acme-challenge/ or /.well-known/pki-validation/“. Ciò per mostrare il certificato di autenticità sul fatto che controllano il dominio. Questo, infatti, invia uno specifico codice a una pagina HTML che deve essere collocata in questa directory particolare. Successivamente, la scansiona per avere conferma e validare il dominio. Il cybercrime la sfrutta per inoculare il codice malevolo, senza che il proprietario del sito in WordPress o Joomla ne sia a conoscenza. Di conseguenza, ne “allunga la vita” il più possibile.