Sodinokibi se propaga a través de foros falsos. Sus operadores hackear sitios de WordPress e insertar código JavaScript que muestra los mensajes de la Q falsa&Un foro en la parte superior del contenido del sitio original.
METROensajes contienen una supuesta “respuesta por parte del administrador” del sitio con un enlace activo con el instalador del programa ransomware.De acuerdo con la reciente publicación en BleepingComputer, hackear sitios atacantes e integrar un script JS en el código HTML. La URL incorporado estará activo para todos los visitantes, pero sólo funcionará si el usuario visita el sitio por primera vez o no ha visitado el sitio durante un cierto período de tiempo.
Si se trata de un primer momento de la visita en un sitio, aparecerá un mensaje falso de la Q&Un foro, el cual será mostrado en los contenidos del portal web.
El usuario no sospeche nada, puesto que el mensaje falso en el foro está relacionado con el contenido de la página hackeada.
“Para el usuario, las miradas anteriores como el sitio normal, ya que el contenido del mensaje del foro falsa está relacionada con el contenido de la página hackeada, pero en realidad es sólo una superposición creado por el guión”, - informa BleepingComputer.
Si el usuario actualiza la página de nuevo, la secuencia de comandos no funcionará y el contenido habitual del recurso se mostrará en lugar.
sin embargo, si el usuario no se actualiza la página, verá una pregunta supuestamente de otro visitante y la respuesta del administrador con un enlace activo.
“Hola, Estoy buscando para descargar carta de resolución de contrato modelo de fotocopiadora. Un amigo me dijo que estaba en su foro. Me puedes ayudar?”
En respuesta a la pregunta, una respuesta falsa estará a cargo de la administración que proporciona un enlace directo a la buscada después de contrato.
“Aquí es un enlace de descarga directa, modelo de carta de fotocopiadoras contrato de terminación.”
Al hacer clic en el enlace se descargará el archivo zip desde otro sitio hackeado. El archivo contiene código ofuscado que descarga una gran cantidad de datos desde un servidor remoto, que, después de descifrado se almacena en el ordenador como un archivo GIF.
El archivo contiene un comando ligeramente ofuscado PowerShell utilizado para descargar Sodinokibi ransomware.
leer también: Los hackers explotan vulnerabilidades en más de 10 plugins de WordPress en una sola campaña
Durante el proceso de cifrado, atacantes eliminar las instantáneas del archivo y se indicarán los requisitos de rescate e información sobre cómo adquirir el descifrador en la nota adjunta.
Para protegerse de un ataque como este, asegúrese de tener algún tipo de software de seguridad instalado con protección en tiempo real y nunca ejecutar archivos que terminan con el .js extensión.
