Издание Softpedia сообщает о новой вредоносной кампании против сайтов под управлением CMS Drupal, которая была зафиксирована специалистами Forkbombus Labs. Хакеры взламывают сайты с помощью SQL-инъекций, после чего внедряют в них поддельную вымогательскую программу, якобы блокирующую портал.
Первые сообщения касаемо этой киберкампании были размещены пользователями на форумах Drupal в марте текущего года. Эта информация была подтверждена исследователями Forkbombus Labs, впервые заметившими вредоносную активность 11 марта.
По словам исследователей, хакеры осуществляют сканирование сайтов на предмет наличия файлов /CHANGELOG.txt и /joomla.xml. Кроме того, они собирают сведения о версии Drupal, под управлением которой находится портал, а после меняют пароль администратора, используя уязвимость. Данная брешь, затрагивающая все версии Drupal 7 до 7.32, позволяет осуществлять SQL-инъекцию. Уязвимость была найдена в 2014 году.
Несмотря на то, что вредоносная программа, помимо прочего, ведет поиск файла joomla.xml, пока что у экспертов нет информации о том, что были заражены сайты под управлением Joomla CMS.
После получения доступа к целевому сайту, взломщики создают на нем новую веб-страницу, содержащую форму для загрузки файлов. Эта форма применяется для загрузки разнообразных скриптов, включая те, что извлекают из базы данных Drupal адреса электронных почтовых ящиков и размещают их в виде скачиваемых файлов в sites/default/files/. Кроме того, происходит удаление файла .htaccess, чтобы информация, извлеченная из базы данных, могла быть без проблем скачана злоумышленниками.
Далее осуществляется загрузка на сервер вымогательской программы в виде бинарного файла, написанного на языке Go. Вымогательская программа удаляет форму загрузки файлов и меняет ее на требование выкупа.
По словам специалистов Forkbombus Labs, вымогательская программа не осуществляет шифровку файлов на сервере и в действительности не производит блокировку сайта. Таким образом, угрозы злоумышленников являются блефом.