News

Botnetz SoakSoak ins Angriffsschema Neutrino/CryptXXX verwickelt

Forscher registrieren eine Zunahme der Infektionen mit der Erpressersoftware CryptXXX, an denen neue kompromittierte Sites Schuld sind, die die Nutzer auf das Exploit-Pack Neutrino umleiten. Laut Angaben von Invincea werden die Websites über eine Sicherheitslücke im WordPress-Plugin Revolution slider gehackt, das normalerweise für Slideshows verwendet wird.

Nach den Worten von Pat Belcher, leitender Virenanalyst bei Invincea, ist das Botnetz SoakSoak, das seit dem Jahr 2014 im Netz aktiv ist und häufig für den automatisierten Scan von Websites auf das Vorhandensein von Sicherheitslücken verwendet wird, in die neuen Attacken involviert. „Wir beobachten einen sprunghaften Anstieg von Attacken dieses Typs, die die Slideshow- und Videokomponenten populärer Sites angreifen“, erklärte der Vertreter des Unternehmens.

Unter den Opfern der laufenden Redirect-Kampagne sind auch die offizielle Tourismus-Website Guatemalas und die Website eines mexikanischen Unternehmens, das für die städtische Wasserversorgung zuständig ist. Alle kompromittierten Ressourcen von Businessstrukturen leiten die Besucher auf eine Landing-Page von Neutrino um, das Exploit-Pack, das für die Verteilung von CryptXXX verantwortlich ist.

„Unseren Beobachtungen zufolge werden Botnetze des Typs SoakSoak transformiert und ändern ihre Payload: Sie entsagen den gewohnten trojanischen Klickern und Passwort-stehlenden Schadprogrammen und spezialisieren sich auf Ransomware“, stellt Belcher fest.

Die Botmaster von SoakSoak ändern auch ihre Taktik und greifen nun neue Website-Gruppen an, Doch ihre Vorliebe gilt nach wie vor der CMS-Plattform WordPress, und sie gehen davon aus, dass die breite Masse der Besucher solcher Sites auch den Internet Explorer unter Windows benutzt. Mit WordPress erstellte Websites sind überaus beliebt bei den Betreibern von Exploit-Packs. Anfang des laufenden Jahres warnten Forscher vom ISC SANS die Internet-Community vor der in dem Moment aktuellen Exploit-Kampagne, die gehackte WordPress- und Joomla-Sites einsetzt.

Die Experten von Invincea überwachen die von dem Botnetz SoakSoak durchgeführten Attacken gegen mit WordPress erstellte Websites, die potentiell angreifbare Plugins in der Art von Revslider verwenden, fortwährend. Belcher erklärte, dass Hacker über Revslider ein Skript einschleusen, das den Anwender bei einem Klick auf eine Slideshow oder auf ein Video auf Neutrino-Ressourcen umleitet.

In ihrem Bericht über die laufende Kampagne wies Invincea besonders darauf hin, dass SoakSoak äußerst aggressiv und die Sicherheitslücke in Revslider weit verbreitet ist. Google hat bereits vor zwei Jahren damit begonnen, WordPress-Sites, die mit Hilfe von SoakSoak kompromittiert wurden, massenhaft in Schwarze Listen aufzunehmen. Zu dem Zeitpunkt drangen die Angreifer über eine veraltete Version (4.1.4) von Revslider in legitime Ressourcen ein. Leider wird in der neuen Untersuchung von Invincea der Schuldige, der für die Hacks verantwortlich ist, nicht genannt.

Quelle: Threatpost

Botnetz SoakSoak ins Angriffsschema Neutrino/CryptXXX verwickelt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach