В скрытых папках сотен сайтов обнаружены фишинговые страницы

ИБ-специалисты британской компании Netcraft обнаружили более 400 фишинговых сайтов в папках /.well_known/ на веб-серверах по всему миру, пишет Threatpost.

Этот каталог — часть унифицированного идентификатора ресурса (URI), при помощи которого пользователи или приложения получают информацию о сайте. Директория с таким названием создается набором программ ACME (Automatic Certificate Management Environment), который предназначен для автоматической генерации и установки SSL-сертификатов.

Проще говоря, мошеннические ресурсы размещаются в служебных папках «безопасных» сайтов, которые используют защищенное HTTPS-соединение. Фишинговые страницы обнаружены в подкаталогах /.well-known/acme-challenge/ и /.well-known/pki-validation/, предназначенных для хранения идентификационных ключей ACME.

Такие папки существуют на миллионах сайтов, однако многие веб-администраторы даже не подозревают об их наличии, так как директории создаются автоматически в момент выдачи SSL-сертификата.

Папка /.well-known/ по умолчанию скрыта и не отображается при помощи команды ls, применяемой в Unix-системах для вывода списка каталогов. Это создает дополнительные трудности в поиске нелегально размещенных страниц.

ACME используют многие популярные сертификационные центры, такие как cPanel и Let’s Encrypt. Фишинговые страницы, размещенные на скомпрометированных ресурсах, представляют серьезную опасность, так как прикрываются надежным SSL-сертификатом. Этот способ маскировки мошенники применяют нечасто. Не менее четверти фишинговых сайтов размещаются на HTTPS-доменах, однако обычно злоумышленники используют поддельные сертификаты.

Публичные хостинг-платформы особенно уязвимы для таких атак, так как автоматически предоставляют широкие права доступа к папке /.well-known/. Сторонние веб-сервисы могут создавать в ней новые файлы, что позволяет массово размещать там нелегальные ресурсы. Подтверждением этой гипотезы служит тот факт, что на некоторых серверах фишинговые сайты обнаружены в папках разных доменов.

Несмотря на то что /.well-known/ содержит несколько подкаталогов, нелегальные страницы обнаружены только в acme-challenge/ и pki-validation/. Каким образом злоумышленники размещают свое содержимое на скомпрометированные сайты, пока неизвестно.