Joomla verteilt TeslaCrypt

Die Forscher vom ISC SANS warnen, dass die Betreiber der Exploit-Packs, die tausende WordPress-Sites hackten, nun eine neue Schadkampagne gestartet haben, wobei dieses Mal das Content Management Sytem Joomla betroffen ist.

„Die Gruppe, die für die ‚admedia‘-Kampagne verantwortlich ist, bei der sie WordPress zu ihren Zwecken missbrauchte, hat es nun offensichtlich auf Joomla-Websites abgesehen“, kommentiert Brad Duncan, IT-Sicherheitsexperte bei Rackspace und Blogger beim ISC SANS. „Bei den mit Joomla-Sites in Verbindung stehenden Infektionen beobachten wir denselben charakteristischen Traffic, den wir auch während der WordPress-Kampagne registrierten.“

Die umfassende Exploit-Kampagne unter Einsatz zahlreicher Redirects wurde zuerst von den Forschern von Sucuri entdeckt. In einem Blogeintrag von Denis Sinegubko vom 1. Februar 2016 wird darauf hingewiesen, dass die Cyberkriminellen Schadcode in alle JavaScript-Dateien auf WordPress-Sites eingeschleust haben. Dieser Code greift die Nutzer an, indem er iFrame mit Werbung lädt; außerdem ist er in der Lage, Backdoors auf einem angreifbaren Server zu öffnen und die js-Dateien erneut zu infizieren, nachdem sie gesäubert wurden.

Das hatte zur Folge, dass die Besucher der kompromittierten Sites laut Angaben von Heimdal Security auf die Gateway-Server von Nuclear umgeleitet wurden und von da aus auf Plattformen mit Exploits. In diesem Zeitraum gelang es Nuclear, wie es bei Malwarebytes heißt, ein anderes Exploit-Pack abzulösen, und zwar Angler. „Eine Analyse des mit dieser Exploit-Kampagne in Verbindung gebrachten Traffics hat gezeigt, dass ihr oberstes Ziel darin besteht, die Erpresser-Software TeslaCrypt in Umlauf zu bringen“, schreibt Duncan im Blog von ISC SANS.

Am vergangenen Freitag bestätigte Sucuri in einem Kommentar gegenüber Threatpost, dass die laufende Schadkampagne auf Joomla verbreitet wurde. „Trotzdem ist die Zahl der infizierten Joomla-Sites um ein Vielfaches geringer (wie auch der Marktanteil von Joomla)“, erklärte Sinegubko in einem Antwortschreiben. „In einigen Fällen verwenden die infizierten Joomla- und WordPress-Sites ein und denselben Account beim Hoster.“

Duncan nimmt an, dass sowohl Angler als auch Nuclear in diesem Fall von ein und derselben Verbrecherbande eingesetzt werden. Im Laufe einer Untersuchung analysierte er einen langen String Hexadezimalcode – ein Fragment des Skripts, das auf einer kompromittierten Site in die js-Dateien eingeschleust wird. „Wenn man den Hexadezimalcode in ASCII umwandelt, erkennt man in dieser Zeile die URL des admedia-Gateways“, schreibt der Forscher.

Laut Duncan kam der admedia-String in allen URL vor, die mit dem schädlichen iFrame auf WordPress-Sites in Verbindung gebracht werden. „Daher meinen einige, wenn sie ‚admedia‘ sagen, den Traffic, der im Rahmen dieser Kampagne generiert wird“, erklärt der Experte. „Diese ‚admedia‘-Ressourcen funktionieren wie ein Gateway zwischen der kompromittierten Site und dem Server des Exploit-Packs.“

Die erste Infektion auf einer Joomla-Site, die mit der laufenden „admedia“-Kampagne in Verbindung gebracht wird, registrierte Duncan am 17. Februar. „Ich erhielt eine ganze Kette von Ereignissen“, schreibt der Forscher in dem Blog. „Sie beginnt mit einer infizierten Website, die den Traffic zu dem ‚admedia‘-Gateway weiterleitet. Vom Gateway wird weiter auf Angler umgeleitet. Schließlich liefert Angler
TeslaCrypt aus, wir haben sogar einige C&C-Aufrufe des Schädlings gesehen.“

Sinegubko seinerseits nimmt an, dass die Angreifer die Sites, die WordPress, Joomla und Drupal verwenden, auf verschiedene Sicherheitslücken scannen, und dann so viele wie möglich infizieren. „Da die meisten Versionen des Schadcodes nicht vom CMS-Typ abhängig sind (sie infizieren einfach js-Dateien, die es in jedem beliebigen CMS gibt), nutzen die Cyberkriminellen eine Sicherheitslücke aus, um den Server zu hacken, eine Backdoor zu laden und mit ihrer Hilfe alle js-Dateien aufzuspüren und zu infizieren“, erklärte der Experte.

Laut Sucuri liegt der Höhepunkt der WordPress-Infektionen (gemessen an der Zahl der desinfizierten Sites) etwa anderthalb Wochen zurück.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.