Sodinokibi 가짜 포럼을 통해 확산. 그 운영은 워드 프레스 사이트를 해킹 가짜 Q 게시물을 표시 자바 스크립트 코드를 삽입&원래 사이트의 콘텐츠의 상단에 포럼.
엠essages은 랜섬웨어 프로그램의 설치에 대한 활성 링크 사이트의 주장 "관리자로부터 응답을"포함.최근에 따르면 출판 BleepingComputer에서, 공격자는 사이트를 해킹하고 HTML 코드의 JS 스크립트를 포함. 포함 된 URL은 모든 방문자에 대한 활성화됩니다, 사용자가 처음 사이트를 방문하거나 일정 시간 동안 사이트를 방문하지 않은 경우 만 작동합니다.
그것은 방문의 처음 사이트에있는 경우, 질문에서 가짜 메시지가 나타납니다&포럼, 웹 포털의 내용을 통해 표시 될.
사용자는 아무것도 의심하지 않습니다, 포럼에 가짜 메시지가 해킹 된 페이지의 내용에 관련이 있기 때문에.
"사용자에게, 가짜 포럼 게시물의 내용과 일반 사이트와 마찬가지로 위의 모습은 해킹 된 페이지의 내용과 관련이, 하지만 현실에서 "스크립트에 의해 생성 단지 오버레이입니다, - BleepingComputer 보고서.
사용자는 페이지를 다시 새로 고치는 경우, 스크립트가 작동하지 않습니다 및 자원의 일반적인 내용이 대신 표시됩니다.
하나, 사용자가 페이지를 새로 고침하지 않는 경우, 그는 또 다른 방문자 및 활성 링크와 관리자의 응답에서 가정으로 질문을 볼 수.
“여보세요, 나는 종료 계약 복사기 모델의 편지를 다운로드 찾고 있어요. 친구는 그가 당신의 공개 토론에 있던 나에게 말했다. 당신이 나를 도울 수?”
질문에 대한 응답, 가짜 대답은 잘 나가 계약에 대한 직접 링크를 제공하는 관리자에 의해 제공됩니다.
“여기에 직접 다운로드 링크입니다, 종료 계약 복사기의 모델 편지.”
링크를 클릭하면 다른 해킹 사이트에서 우편 아카이브를 다운로드합니다. 이 파일은 원격 서버에서 많은 양의 데이터를 다운로드 난독 화 코드를 포함, 암호 해독 후 어떤은 GIF 파일로 컴퓨터에 저장됩니다.
이 파일은 Sodinokibi의 랜섬웨어를 다운로드하는 데 사용 약간 난독 PowerShell 명령을 포함.
또한 읽기: 해커보다 더 많은 취약점을 악용 10 하나 개의 캠페인에서 워드 프레스 플러그인
암호화 과정에서, 공격자는 파일의 섀도 복사본을 삭제하고 첨부 된 노트에 암호 해독기를 획득하는 방법에 대한 몸값 요구 사항 및 정보를 표시.
자신을 보호하기 위해 이 같은 공격, 실시간 보호와 함께 설치된 보안 소프트웨어의 일종을 가지고 있고로 끝나는 파일을 실행하지해야 .JS 신장.
