Hackers habrían tomado por asalto cientos de sitios que utilizan WordPress y Joomla como base para distribuir ransomware y phishing. Esto ha sido reportado por expertos de seguridad de la empresa Zscaler, quienes descubrieron malware en un directorio oculto de los sitios HTTPS que busca infectar o redireccionar a los usuarios a otros sitios.

Los hackers han escondido una serie de archivos en el directorio /.well-known/, el cual se utiliza para demostrar la propiedad del dominio ante una autoridad de certificación. Estos directorios comúnmente incluyen un token que es validado por autoridades como GlobalSign, cPanel, ACME y otras.

Para sacar provecho de esta vulnerabilidad, los hackers buscan sitios de WordPress o Joomla que se encuentran desactualizados, tanto en la versión del CMS, como en los plugins o temas. De acuerdo con Zscaler, los directorios son infectados con el ransomware Troldesh— también conocido como Shade — así como backdoors, redireccionadores y páginas de phishing.

El malware es hospedado en directorios ocultos HTTPS

Lista de archivos que incluyen el ransomware Shade (c) Zscaler

Los cibercriminales se aprovechan de que el directorio está oculto para los administradores. Una vez insertados los archivos, se procede a enviar un correo electrónico con un enlace al sitio infectado. Este descarga un archivo zip con el ransomware.

Si el usuario cae en la trampa y ejecuta el archivo ZIP, Troldesh encriptará los archivos del computador y dejará una advertencia al usuario en el fondo de pantalla. El email es un tanto obvio como sospechar de él — está redactado en ruso — y cuenta con una advertencia de que "se debe abrir urgentemente".

Sumado al ransomware, también existen otros archivos de páginas phishing que simulan ser de servicios como Gmail, Office 365m Dropbox, Yahoo y otros más. Estos sitios tratarán de obtener las credenciales de acceso de las personas que no se fijen en la barra de direcciones.

Los investigadores indican que hay más de 500 sitios vulnerados y confirman que ya se han puesto en contacto con los dueños de estos dominios para advertirles de esta situación.