Хакеры используют SQL-инъекции для взлома сайтов на базе Drupal
Вредонос-вымогатель блокирует главную страницу web-сайтов на базе Drupal, однако ничего не шифрует.
В марте нынешнего года появились первые жертвы новой разновидности вымогательского ПО. Администраторы сайтов на базе Drupal сообщали о блокировке страниц и требовании оплаты. Как информирует Softpedia со ссылкой на эксперта по безопасности Forkbombus Labs Стю Гордона (Stu Gordon), первые инфицирования web-сайтов начались 11 марта и стали интенсивнее после 18 марта.
Сперва злоумышленник сканирует web-сайт на наличие файла CHANGELOG.txt. Сканирующий бот преступника эксплуатирует уязвимость CVE-2014-3704 для взлома сайта и изменения пароля администратора. Уязвимость CVE-2014-3704 позволяет осуществить SQL-инъекцию и затрагивает вышедшие до Drupal 7.32 версии.
Как только хакер получает контроль над сайтом, создается новая страница, содержащая форму с полем для загрузки файлов. Затем бот использует эту форму для загрузки различных скриптов, извлекающих электронные письма из базы данных Drupal, и делает их доступными в виде загружаемых файлов в /sites/default/files/. Соответственно, хакер может зайти на страницу и загрузить файлы.
Последним загруженным файлом становится бинарный код, написанный на языке программирования Go и являющийся вредоносным ПО. Вредонос удаляет форму с полем для загрузки файлов и заменяет ее сообщением: «Web-сайт заблокирован. Пожалуйста, перечислите 1,4 биткойна на адрес 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9, чтобы разблокировать контент.» («Website is locked. Please transfer 1.4 BitCoin to address 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9 to unlock content.»). Однако вредонос не шифрует информацию. Эксперт также предположил возможное существование целой инфраструктуры С&С-сервера у злоумышленников.
Вымогателем было инфицировано около 400 web-сайтов. На указанный биткойн-кошелек преступников не было осуществлено никаких транзакций, то есть преступникам еще никто не платил. Также исследователь безопасности заметил, что зараженные вымогателем сайты производили впечатление заброшенных создателями, поэтому преступники не нанесли никакого существенного ущерба.
Домашний Wi-Fi – ваша крепость или картонный домик?