Centenas de sites WordPress e Joomla comprometidos estão oferecendo malware aos visitantes

Sites construídos em dois dos mais populares sistemas de gerenciamento de conteúdo, estão sendo invadidos e explorados para fornecer ransomware e outros malwares para os visitantes.

Os criminosos cibernéticos estão explorando vulnerabilidades em plug-ins, temas e extensões em sites WordPress e Joomla e usando-os para servir ransomware Shade e outros conteúdos maliciosos.

Pesquisadores da empresa de segurança Zscaler detalharam como os invasores estão usando um diretório oculto em HTTPS para fins maliciosos. Esse diretório conhecido é normalmente usado por proprietários de sites para demonstrar a propriedade do domínio para a autoridade de certificação que procura código para reconhecer que o domínio foi validado.

No entanto, ao usar explorações para obter acesso a essas páginas ocultas, os invasores podem usá-las para ocultar malware e outros conteúdos mal-intencionados de administradores de sites.

Nas últimas semanas, os pesquisadores identificaram um aumento de ameaças no diretório oculto, com o Shade ransomware – também conhecido como Troldesh – a ameaça mais comum implantada dessa maneira.

“Os e-mails de spam geralmente contêm um link para a página de redirecionamento de HTML hospedada no site comprometido que baixa o arquivo zip malicioso. O usuário precisa abrir o arquivo JavaScript dentro do ZIP e esse arquivo JavaScript baixará o ransomware do site comprometido e o executará” “Deepen Desai, vice-presidente de pesquisa e operações de segurança da Zscaler.

Mais de 500 sites foram comprometidos e milhares de tentativas foram feitas para eliminar ransomware, links de phishing e outros conteúdos maliciosos.

Enquanto isso, as páginas de phishing são hospedadas em diretórios ocultos validados por SSL e pop-up em um esforço para enganar a vítima em potencial para entregar seus nomes de usuário e senhas.

Os sites WordPress comprometidos estão usando as versões 4.8.9 a 5.1.1 e tendem a usar temas desatualizados do CMS ou software do lado do servidor, o que os pesquisadores sugerem ser provavelmente o motivo do comprometimento.

Não se sabe quem está por trás da campanha cibercriminosa, mas Zscaler está trabalhando para informar os donos dos sites sobre os ataques. A lista completa de Indicadores de Compromisso está disponível na análise do ataque .