Sodinokibi verspreidt via nep forums. De exploitanten hacken WordPress sites en insluiten JavaScript-code die berichten van de nep-Q weergeeft&Een forum op de top van de inhoud van de oorspronkelijke site.
Messages bevatten een vermeende “reactie van de beheerder” van de site met een actieve link naar de installateur van de ransomware programma.Volgens de recente publicatie in BeginnersWeb, aanvallers hack sites en insluiten een JS script in de HTML-code. De embedded URL zal actief zijn voor alle bezoekers, maar werkt alleen als de gebruiker de site bezoekt voor de eerste keer of niet de site voor een bepaalde periode bezocht.
Als het een eerste keer van het bezoek op een site, zal een nep-bericht van de Q verschijnen&Een forum, die zal worden weergegeven over de inhoud van het webportaal.
De gebruiker zal niets vermoeden, aangezien de nep-bericht op het forum is gerelateerd aan de inhoud van de gehackte pagina.
“Om de gebruiker, het bovenstaande lijkt op de normale site als de inhoud van de nep-forum bericht is gerelateerd aan de inhoud van de gehackte pagina, maar in werkelijkheid is slechts een overlay gemaakt door het script”, - meldt BeginnersWeb.
Als de gebruiker de pagina vernieuwt opnieuw, het script zal niet werken en de gebruikelijke inhoud van de bron in plaats daarvan zal worden weergegeven.
Echter, als de gebruiker niet de pagina wordt vernieuwd, Hij zal een vraag vermoedelijk zien vanuit een andere bezoeker en de reactie van de beheerder met een actieve link.
“Hallo, Ik ben op zoek naar opzeggingsbrief contract fotokopieerapparaat model downloaden. Een vriend vertelde me dat hij op het forum. Kunt u mij helpen?”
In antwoord op de vraag, een nep antwoord zal worden verstrekt door de Admin, dat een directe link naar de gewilde contract.
“Hier is een directe download link, model opzeggingsbrief contract fotokopieerapparaat.”
Door te klikken op de link zal het zip-archief downloaden van een andere gehackte site. Het bestand bevat versluierde code die een grote hoeveelheid gegevens downloadt van een externe server, dat na decryptie wordt opgeslagen op de computer als een GIF-bestand.
Het bestand bevat een enigszins versluierd PowerShell commando gebruikt om Sodinokibi ransomware downloaden.
Lees ook: Hackers misbruiken kwetsbaarheden in meer dan 10 WordPress plugins in één campagne
Tijdens de encryptie-proces, aanvallers verwijderen schaduwkopieën van het bestand en geef het losgeld eisen en informatie over hoe u de decryptor verwerven in de bijgevoegde notitie.
Om uzelf te beschermen uit een dergelijke aanval, zorg ervoor dat u een soort van beveiligingssoftware geïnstalleerd met real-time bescherming en nooit bestanden die eindigen op de uit te voeren .js uitbreiding.
