News

Joomla verteilt TeslaCrypt

Die Forscher vom ISC SANS warnen, dass die Betreiber der Exploit-Packs, die tausende WordPress-Sites hackten, nun eine neue Schadkampagne gestartet haben, wobei dieses Mal das Content Management Sytem Joomla betroffen ist.

„Die Gruppe, die für die ‚admedia‘-Kampagne verantwortlich ist, bei der sie WordPress zu ihren Zwecken missbrauchte, hat es nun offensichtlich auf Joomla-Websites abgesehen“, kommentiert Brad Duncan, IT-Sicherheitsexperte bei Rackspace und Blogger beim ISC SANS. „Bei den mit Joomla-Sites in Verbindung stehenden Infektionen beobachten wir denselben charakteristischen Traffic, den wir auch während der WordPress-Kampagne registrierten.“

Die umfassende Exploit-Kampagne unter Einsatz zahlreicher Redirects wurde zuerst von den Forschern von Sucuri entdeckt. In einem Blogeintrag von Denis Sinegubko vom 1. Februar 2016 wird darauf hingewiesen, dass die Cyberkriminellen Schadcode in alle JavaScript-Dateien auf WordPress-Sites eingeschleust haben. Dieser Code greift die Nutzer an, indem er iFrame mit Werbung lädt; außerdem ist er in der Lage, Backdoors auf einem angreifbaren Server zu öffnen und die js-Dateien erneut zu infizieren, nachdem sie gesäubert wurden.

Das hatte zur Folge, dass die Besucher der kompromittierten Sites laut Angaben von Heimdal Security auf die Gateway-Server von Nuclear umgeleitet wurden und von da aus auf Plattformen mit Exploits. In diesem Zeitraum gelang es Nuclear, wie es bei Malwarebytes heißt, ein anderes Exploit-Pack abzulösen, und zwar Angler. „Eine Analyse des mit dieser Exploit-Kampagne in Verbindung gebrachten Traffics hat gezeigt, dass ihr oberstes Ziel darin besteht, die Erpresser-Software TeslaCrypt in Umlauf zu bringen“, schreibt Duncan im Blog von ISC SANS.

Am vergangenen Freitag bestätigte Sucuri in einem Kommentar gegenüber Threatpost, dass die laufende Schadkampagne auf Joomla verbreitet wurde. „Trotzdem ist die Zahl der infizierten Joomla-Sites um ein Vielfaches geringer (wie auch der Marktanteil von Joomla)“, erklärte Sinegubko in einem Antwortschreiben. „In einigen Fällen verwenden die infizierten Joomla- und WordPress-Sites ein und denselben Account beim Hoster.“

Duncan nimmt an, dass sowohl Angler als auch Nuclear in diesem Fall von ein und derselben Verbrecherbande eingesetzt werden. Im Laufe einer Untersuchung analysierte er einen langen String Hexadezimalcode – ein Fragment des Skripts, das auf einer kompromittierten Site in die js-Dateien eingeschleust wird. „Wenn man den Hexadezimalcode in ASCII umwandelt, erkennt man in dieser Zeile die URL des admedia-Gateways“, schreibt der Forscher.

Laut Duncan kam der admedia-String in allen URL vor, die mit dem schädlichen iFrame auf WordPress-Sites in Verbindung gebracht werden. „Daher meinen einige, wenn sie ‚admedia‘ sagen, den Traffic, der im Rahmen dieser Kampagne generiert wird“, erklärt der Experte. „Diese ‚admedia‘-Ressourcen funktionieren wie ein Gateway zwischen der kompromittierten Site und dem Server des Exploit-Packs.“

Die erste Infektion auf einer Joomla-Site, die mit der laufenden „admedia“-Kampagne in Verbindung gebracht wird, registrierte Duncan am 17. Februar. „Ich erhielt eine ganze Kette von Ereignissen“, schreibt der Forscher in dem Blog. „Sie beginnt mit einer infizierten Website, die den Traffic zu dem ‚admedia‘-Gateway weiterleitet. Vom Gateway wird weiter auf Angler umgeleitet. Schließlich liefert Angler
TeslaCrypt aus, wir haben sogar einige C&C-Aufrufe des Schädlings gesehen.“

Sinegubko seinerseits nimmt an, dass die Angreifer die Sites, die WordPress, Joomla und Drupal verwenden, auf verschiedene Sicherheitslücken scannen, und dann so viele wie möglich infizieren. „Da die meisten Versionen des Schadcodes nicht vom CMS-Typ abhängig sind (sie infizieren einfach js-Dateien, die es in jedem beliebigen CMS gibt), nutzen die Cyberkriminellen eine Sicherheitslücke aus, um den Server zu hacken, eine Backdoor zu laden und mit ihrer Hilfe alle js-Dateien aufzuspüren und zu infizieren“, erklärte der Experte.

Laut Sucuri liegt der Höhepunkt der WordPress-Infektionen (gemessen an der Zahl der desinfizierten Sites) etwa anderthalb Wochen zurück.

Quelle: Threatpost

Joomla verteilt TeslaCrypt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach