Sodinokibi se espalha através de fóruns falsos. Seus operadores hackear sites WordPress e inserir o código JavaScript que exibe mensagens do falso Q&Um fórum no topo do conteúdo do site original.
Mensagens conter uma suposta “resposta do administrador” do site com um link ativo para o instalador do programa ransomware.De acordo com a recente publicação em BleepingComputer, atacantes cortar locais e incorporar um script JS no código HTML. O URL incorporado estará ativo para todos os visitantes, mas só funcionará se o usuário visita o site pela primeira vez ou que não tenha visitado o site para um determinado período de tempo.
Se for um primeiro momento da visita em um site, aparecerá uma mensagem falsa do Q&Um fórum, que será exibido sobre o conteúdo do portal web.
O usuário não vai suspeitar de nada, uma vez que a mensagem falsa no fórum está relacionada com o conteúdo da página hackeado.
“Para o usuário, os olhares acima como o site normal, como o conteúdo do post no fórum falso está relacionada com o conteúdo da página hackeada, mas na realidade é apenas uma sobreposição criado pelo script”, - Relatórios BleepingComputer.
Se o usuário atualiza a página novamente, o script não vai funcionar e o conteúdo usual do recurso será exibido em vez.
Contudo, Se o usuário não atualizar a página, ele vai ver uma pergunta supostamente de outro visitante ea resposta do administrador com uma ligação ativa.
“Olá, Eu estou olhando para baixar carta de rescisão modelo de fotocopiador contrato. Um amigo me disse que ele estava em seu fórum. Pode me ajudar?”
Em resposta à pergunta, uma resposta falsa será fornecido pelo administrador que fornece um link direto para o procurou depois de contrato.
“Aqui está um link para download direto, carta modelo de fotocopiadora contrato de rescisão.”
Ao clicar no link vai baixar o arquivo zip de outro site hackeado. O arquivo contém código ofuscado que transfere uma grande quantidade de dados a partir de um servidor remoto, que depois de descriptografia é armazenada no computador como um arquivo GIF.
O arquivo contém um comando PowerShell ligeiramente ofuscado usado para baixar Sodinokibi ransomware.
Leia também: Hackers exploram vulnerabilidades em mais de 10 WordPress plugins em uma campanha
Durante o processo de criptografia, atacantes excluir cópias de sombra do arquivo e indicar os requisitos de resgate e informações sobre como adquirir o decoder na nota anexada.
Para se proteger a partir de um ataque como este, certifique-se de ter algum tipo de software de segurança instalado com proteção em tempo real e nunca executar arquivos que terminam com a .js extensão.
