Teslacrypt mit Hilfe von Neutrino verbreitet

Die Journalisten von Softpedia warnen vor einer neuen Erpresserkampagne unter Verwendung des Exploit-Packs Neutrino und Redirects auf gehackte WordPress-Sites. Dieses Mal wird infolge einer Ausnutzung der Blocker Teslacrypt auf den Rechner des Opfers geladen, der in erster Linie Dateien von Gamern verschlüsselt. Die neue Attacke wurde von den Forschern des dänischen Unternehmens Heimdal Security entdeckt, das sich vor anderthalb Jahren von der CSIS Security Group abgespalten hat.

Nach Aussage der Experten verwenden die Angreifer als Redirects hauptsächlich Websites mit veralteten WordPress-Versionen oder angreifbare Plugins für diese CMS-Plattform. Heimdal weist darauf hin, dass dieses Content Management System von mehr als 142 Millionen Websites im Internet verwendet wird, wobei ein Fünftel von ihnen auf WordPress-Versionen läuft, die ihre Aktualität bereits eingebüßt haben. Auf WordPress laufende Blogs werden gegenwärtig monatlich von mehr als 409 Millionen Nutzern gelesen, daher könnte die Zahl der Opfer der laufenden Schadkampagne überaus hoch ausfallen.

Bei der Verarbeitung schicken die Skripte, die von den Cyberkriminellen auf die kompromittierten Sites eingeschleust wurden, den Besucher zumeist auf eine Umleitungsdomain in der TLD-Zone .com, von der aus der Redirect auf die Exploit-Plattform Neutrino erfolgt. In den laufenden Attacken wurden Exploits für die neusten Sicherheitslücken im Adobe Flash Player, Adobe Reader/Acrobat und Internet Explorer registriert; laut Angaben der Forscher lassen sich die Schädlinge wegen der von den Neutrino-Autoren eingesetzten vielschichtigen Obfuskation nur schwer detektieren.

Im Rahmen von Tests wurde eine der Exploit-Sites aufgedeckt, die in der nationalen Domain der Republik Mali registriert und auf einem holländischen Server untergebracht war, der bereits für seine Verbindung zu Neutrino bekannt ist. Das mit Hilfe des Exploits geladene Teslacrypt-Sample verschlüsselte nicht nur die Dateien auf dem infizierten Computer, sondern zerstörte auch die Schattenkopien auf der lokalen Festplatte, um zu vermeiden, dass sie für die Wiederherstellung verwendet werden, und drangen zudem zu anderen Dateien im gemeinsam genutzten Netz vor. Zum Abschluss lud das Verschlüsselungsprogramm von einer polnischen Domain eine Informationen stehlende Schadsoftware aus der Familie Pony.

Wir erinnern daran, dass ein analoges Schema vor kurzem eingesetzt wurde, um ein anderes gefährliches Erpresserprogramm in Umlauf zu bringen, und zwar CryptoWall 3.0. Anfang September warnte bereits Brad Duncan, ständiger Mitarbeiter von ISC SANS, vor einer verstärkten Aktivität von Neutrino, einem der Hauptkonkurrenten von Angler.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.