Sodinokibi spredes gennem falske fora. Dens operatører hack WordPress sites og indlejre JavaScript-kode, der viser indlæg fra den falske Q&Et forum på toppen af det oprindelige websted indhold.
Messages indeholder en påstået ”svar fra administrator” af webstedet med et aktivt link til installatøren af ransomware program.Ifølge den seneste offentliggørelse i BleepingComputer, angribere hack sites og integrere en JS script i HTML-kode. Den indlejrede webadresse vil være aktiv for alle besøgende, men vil kun fungere, hvis brugeren besøger webstedet for første gang eller ikke har besøgt stedet i en vis periode.
Hvis det er en første gang for besøget på et websted, vises en falsk besked fra Q&Et forum, som vil blive vist i løbet af indholdet af webportalen.
Brugeren vil ikke mistanke noget, da den falske besked på forum er relateret til indholdet af den hackede side.
”Til brugeren, ovenstående ligner det normale sted som indholdet af den falske forum post er relateret til indholdet af den hackede side, men i virkeligheden er bare en overlejring skabt af scriptet”, - rapporter BleepingComputer.
Hvis brugeren opdaterer siden igen, scriptet vil ikke arbejde og de sædvanlige indhold af ressourcen vises i stedet.
imidlertid, hvis brugeren ikke opdatere siden, han vil se et spørgsmål angiveligt fra en anden besøgende og administratorens svar med et aktivt link.
“Hej, Jeg glæder mig til at hente opsigelsesbrevet kontrakt kopimaskine model. En ven fortalte mig, at han var på dit forum. Kan du hjælpe mig?”
Som svar på spørgsmålet, en falsk svar vil blive leveret af Admin, der giver en direkte forbindelse til den eftertragtede kontrakt.
“Her er et direkte download link, model opsigelsesbrevet kontrakt kopimaskine.”
Med et klik på linket kommer downloade zip-arkiv fra et andet hacket website. Filen indeholder sammenrodet kode, der henter en stor mængde data fra en ekstern server, som efter dekryptering er lagret på computeren som en GIF-fil.
Filen indeholder en lidt uklar PowerShell-kommandoen bruges til at hente Sodinokibi ransomware.
Læs også: Hackere udnytte sårbarheder i mere end 10 WordPress plugins i en kampagne
Under krypteringsprocessen, angribere slette øjebliksbilleder af filen og angive de løsepenge krav og oplysninger om, hvordan at erhverve decryptor i vedlagte notat.
For at beskytte dig selv fra et angreb som dette, være sikker på at have en form for sikkerhedssoftware installeret med real-time beskyttelse og aldrig udføre filer, der ender med .js udvidelse.
