Investigación revela payloads ocultos en sitios HTTPS "bien reputados"

Los sitios web pirateados o alterados descubiertos son utilizados para varios propósitos maliciosos, los expertos en seguridad observaron los sitios web comprometidos en WordPress y Joomla que brindaban servicios de ransomware Shade/Troldesh (troyanos de la misma naturaleza que encriptan los datos de las víctimas, pidiendo una recompensa para recuperarlos), software de minería, backdoors, y también se registra participación en campañas de phishing.

Los sitios de WordPress comprometidos ejecutaban las versiones 4.8.9 a 5.1.1 del popular CMS, afectados por una falla de falsificación de solicitud entre sitios (CSRF) que reside en la sección de comentarios de WordPress, la cual está habilitada por defecto.

Los sitios CMS que ejecutaban complementos, temas obsoletos o software del lado del servidor utilizaban certificados SSL emitidos por Automatic Certificate Management Environment (ACME), impulsada por las autoridades de certificación, como Let's Encrypt, GlobalSign, cPanel, y DigiCert.

Lo interesante de la investigación, es el abuso de un conocido directorio oculto en los sitios HTTPS para almacenar el malware. El directorio es un prefijo URI para ubicaciones conocidas definidas por el IETF (Internet Engineering Task Force, organización internacional abierta de normalización, que tiene como objetivos el contribuir a la ingeniería de Internet) y utilizadas para demostrar la propiedad de un dominio.

Los administradores de sitios web HTTPS que usan ACME para administrar certificados SSL colocan un token único dentro de la carpeta, para mostrar a la autoridad de certificación (CA) que el dominio está bajo su control. La CA escanea esta carpeta en busca de un código que se envió previamente al administrador.

Los sitios web que entregan la Shade/Troldesh ransomware incluía tres tipos de archivos (HTML, ZIP y EXE) enmascarados como imágenes .jpg. Los archivos HTML se utilizan para redirigir a las víctimas para que descarguen archivos ZIP (reso.zip, rolf.zip y stroi-invest.zip) que contiene el archivo de JavaScript.

La variante del ransomware Shade/Troldesh involucrado en el ataque usa un cliente TOR para conectarse al C2 y encripta tanto el contenido como el nombre de los archivos seleccionados. Los atacantes utilizaron páginas de phishing relacionadas con varios servicios y marcas populares, como Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail entre otras marcas.


REFERENCIA

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Investigación revela payloads ocultos en sitios HTTPS "bien reputados"
Investigación revela payloads ocultos en sitios HTTPS "bien reputados"
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxwiSz9TKDZ2X59Hq9F3MT1LV1G8BsvP5PUu5RUtKV_tpiwKznCcpy2XhFcGu_ux_sUtyME3rEKzShBEuJ8pmW7BhxLBYwDyqV87U0LT_-m2PA8wO0DIgq8D8isz5PaXdQ19fi1UwO-7Y/s640/https+hack+sites.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxwiSz9TKDZ2X59Hq9F3MT1LV1G8BsvP5PUu5RUtKV_tpiwKznCcpy2XhFcGu_ux_sUtyME3rEKzShBEuJ8pmW7BhxLBYwDyqV87U0LT_-m2PA8wO0DIgq8D8isz5PaXdQ19fi1UwO-7Y/s72-c/https+hack+sites.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/04/investigacion-revela-payloads-ocultos.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/04/investigacion-revela-payloads-ocultos.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy