Исследователи безопасности Zscaler обнаружили, что киберпреступники используют скрытые "известные" каталоги сайтов HTTPS для хранения и обслуживания вредоносных программ. Об этом сообщает Security Week.

Были обнаружены взломанные веб-сайты WordPress и Joomla с вирусами-вымогателями Shade/Troldesh, майнерами, бэкдорами, перенаправителями, фишинговыми страницами и другими угрозами. На скомпрометированных сайтах WordPress запущены версии 4.8.9–5.1.1 CMS.

Как утверждают в Zscaler, злоумышленникам удалось получить доступ к установкам с помощью устаревших плагинов/тем CMS или серверного программного обеспечения.

Общим для скомпрометированных веб-сайтов было использование SSL-сертификатов, выданных Automatic Certificate Management Environment (ACME), такими как Let Encrypt, GlobalSign, cPanel и DigiCert.

Преступники использовали хорошо известный скрытый каталог на сайтах HTTPS для хранения своих вредоносных данных. Каталог является префиксом URI для известных местоположений, определенных IETF и используемых для демонстрации владения доменом.

Для веб-сайтов HTTPS, которые используют ACME для управления сертификатами SSL, администраторы помещают в папку уникальный токен, чтобы показать центру сертификации (CA), что они контролируют домен. CA отправляет определенный код, который они помещают в конкретный каталог, и CA сканирует его для проверки домена.

"Злоумышленники используют каталоги, чтобы скрыть вредоносные и фишинговые страницы от администраторов. Эта тактика эффективна, поскольку этот каталог уже присутствует на большинстве сайтов HTTPS и является скрытым, что увеличивает срок службы вредоносного/фишингового контента на скомпрометированном сайте", — заявили в Zscaler.

В прошлом месяце исследователи безопасности обнаружили в скрытом каталоге различные типы угроз, среди которых наиболее распространенным является вирус-вымогатель Shade/Troldesh, а на втором месте — фишинговые страницы.

На каждом скомпрометированном веб-сайте были обнаружены файлы трех типов, а именно — HTML, ZIP и EXE, маскирующиеся под изображения .jpg. Спам обычно используется для распространения вирусов-вымогателей через прикрепленные файлы ZIP, либо ссылки на HTML, которые перенаправляют на файлы ZIP. Архивы содержат JavaScript, который загружает "полезную нагрузку" и выполняет ее.

Полезная нагрузка — новый вариант Shade/Troldesh. Вредоносное ПО использует клиент TOR для подключения к серверу командования и управления (C&C) и шифрует содержимое и имена целевых файлов.

Фишинговые страницы связаны с Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail и другими брендами.