Вымогатель Sodinokibi распространяется путем создания фальшивых форумов на взломанных сайтах

Основатель BleepingComputer Лоренс Абрамс (Lawrence Abrams) предупредил, что операторы шифровальщика Sodinokibi используют весьма изощренный способ для распространения своей малвари. Так, они создают на взломанных WordPress-сайтах фиктивные форумы Q&A, а затем размещают там фальшивые сообщения, замаскированные под ответы администратора и содержащие ссылки на загрузку малвари.

Фактически, преступники используют фейковый оверлей, который помещает форум с вопросами и ответами поверх содержимого взломанного сайта. В итоге фальшивое сообщение на форуме содержит информацию, действительно касающуюся содержимого страницы, которую посещает пользователь.  Из-за этого создается впечатление, что ответ и ссылка, опубликованные «администратором», являются легитимными.

Абрамс пишет, что новый метод распространения Sodinokibi первым заметил ИБ-эксперт, известный под псевдонимом Aura. Действия атакующих похожи на старую технику атак HoeflerText. Суть данной методики отражена в ее названии: пользователю показывают всплывающее сообщение и предлагают загрузить пакет шрифтов HoeflerText. Якобы без этого невозможен просмотр целевой страницы. В случае Sodinokibi, злоумышленники тоже внедряют скрипты JavaScript в HTML на взломанные сайты, как показано на иллюстрации ниже. Причем внедренный URL будет активен для всех посетителей, но содержит данные только в том случае, если пользователь посещает сайт впервые или не посещал ресурс в течение определенного периода времени.

Так, если жертва пришла на сайте впервые, скрипт вызовет появления фейкового сообщения на французском языке, которое будет отображаться поверх содержимого сайта. Причем если пользователь снова обновит страницу, скрипт не будет запущен, и отобразится только обычная страница. Видео с демонстрацией атаки можно увидеть ниже.

Специалист предупреждает, что для защиты от подобных атак стоит озаботиться использованием защитного ПО, а также никогда не выполнять файлы, которые заканчиваются расширением .js.

Читать новость в источнике Xakep