هکرها از چندین هزار سایت سوء استفاده کردند و باجافزار Troldesh و صفحات فیشینگ تزریق کردند. تمامی سایتهای وردپرسی مورد نفوذ دارای نسخههای بین ۴,۸.۹ تا ۵.۱.۱ هستند و در آنها از پروتکل ACME برای SSL استفاده شده است. در بین سایتهای مورد نفوذ، ۱۳.۶ درصد باجافزار Shade، ۲۷.۶ درصد صفحات فیشینگ و در سایر آنها کاوشگر رمزارز، آگهیافزار و منتقلکنندههای مخرب وجود دارد.
مهاجمین از پوشه مخفی .well-known برای ذخیرهسازی و توزیع باجافزار استفاده کردند. پوشه مخفی .well-known به منظور تایید مالکیت یک دامنه توسط مدیر سایت ایجاد میشود. سایتهای آلوده به باجافزار Shade حاوی فایلهای HTML، ZIP و EXE (.jpg) هستند. فایلهای HTML کاربران را به دانلود فایل ZIP هدایت میکنند. فایل ZIP یک payload مبهمسازی شده را در آدرس TEMP قربانی قرار میدهد.
این payload دانلود شده، باجافزار Shade/Troldesh است که تمامی فایلهای کاربر را توسط AES-۲۵۶ رمزگذاری میکند و به انتهای نام فایل ID_of_infected_machine.crypted۰۰۰۰۰۷ را اضافه میکند. فایلهای README۱.txt و README۱۰.txt نیز در دسکتاپ قربانی قرار داده میشوند. صفحات فیشینگ نیز در صفحات مخفی قرار داده میشوند تا از دید مدیر سایت مخفی بمانند. این صفحات مرتبط با Office ۳۶۵، Microsoft، Yahoo، Gmail و غیره هستند.
انتهای پیام/