WordPress-Kompromittierung führt zur Verbreitung von TeslaCrypt

Die Betreiber von Websites, die WordPress verwenden, werden vor einer neuen Schadkampagne gewarnt, die diese Plattform zur Verbreitung einer Infektion benutzt, die bisher nur schlecht von Antiviren-Programmen detektiert wird.

Die Forscher von Heimdal Security haben hunderte von kompromittierten Sites gefunden, die die Nutzer auf Nuclear-Plattformen weiterleitet, eine Zusammenstellung leistungsstarker Exploits für verwundbare Adobe-Produkte (Flash, Reader, Acrobat), aber auch für den Internet Explorer und Microsoft Silverlight.

Ende November wurde das Exploit-Pack Nuclear der Mittäterschaft bei der Verbreitung von Cryptowall überführt; in diesem Fall nun ist die Ziel-Payload der Verschlüsselungsschädling TeslaCrypt.

Dieser Schädling verschlüsselt – wie auch sein Bruder im Geiste – Dateien auf der lokalen Festplatte und fordert Lösegeld für die Herausgabe des Dechiffrierungsschlüssels. Nach Einschätzungen von FireEye hatten die Betrüger zu Beginn des vergangenen Jahres mit seiner Hilfe innerhalb von drei Monaten insgesamt 76,5 Tausend Dollar erbeutet – eine recht bescheidene Summe im Vergleich zu den Einnahmen ihrer „Kollegen“, insbesondere der Betreiber von Cryptolocker. Im vergangenen Juli wurde eine neue Version von Teslacrypt entdeckt, die als sein gefährlicherer Verwandter Cryptowall getarnt ist.

In der neuen, laufenden Teslacrypt-Kampagne nutzten die Cyberkriminellen laut Angaben von Heimdal eine bisher noch nicht identifizierte Sicherheitslücke auf WordPress-Sites aus, um obfuskiertes JavaScript einzuschleusen. Dieser Schadcode leitet die Besucher auf die Domain chrenovuihren um, wo schädliche Werbung platziert ist, die ihrerseits den gesamten Traffic auf den Nuclear-Server umleitet. Heimdal konnte drei IP-Adressen identifizieren, die wie Gateways funktionieren: 159[.]203[.]24 [.] 40; 164[.]132[.]80 [.] 71; 162[.]243[.]77 [.] 214.

„Diese Kampagne verwendet mehrere Domains zur Verteilung des Schadcodes, daher können die aktiven Server in Abhängigkeit von der verwendeten IP und den Ergebnissen der DNS-Suche schnell ausgetauscht werden“, schreiben die Forscher in einem Blog. Der Schadcode ist in den Subdomains von chrenovuihren platziert; Heimdal hat bereits mehr als 85 Domains blockiert, die aktiv in der laufenden Kampagne verwendet werden. Anfangs wurden sie nur von 2 URL-Scannern aus der Kollektion von VirusTotal detektiert.

Nur drei Tage, bevor Heimdal mit seiner Entdeckung an die Öffentlichkeit ging, hatte das Unternehmen Sucuri über eine ähnliche, große Kampagne informiert, die ebenfalls WordPress ausnutzt. Die Experten von Heimdal nehmen an, dass hinter beiden Attacken ein und dieselbe Verbrecherbande steckt, was bisher allerdings noch nicht bewiesen werden konnte.

Die Forscher von Sucuri fanden heraus, dass die Angreifer Schadcode ans Ende aller legitimen JavaScript-Dateien auf den gehackten Sites eingeschleust hatten. Dieser Code greift nur Erstbesucher an und er installiert einen Cookie mit einer Gültigkeitsdauer von 24 Stunden und schleust einen unsichtbaren iFrame mit „Admedia“ oder „advertising“ in der Pfadkomponente der URL ein.

Heimdal ruft die Nutzer von WordPress auf, das CMS schnellstmöglich zu aktualisieren (eine neue Version wurde in der vergangenen Woche herausgebracht) und regelmäßig Backups ihres Dateisystems zu erstellen. Regelmäßige Backups an unterschiedlichen Orten und die rechtzeitige Aktualisierung der Antiviren-Datenbanken sind die besten Maßnahmen zum Schutz vor schädlichen Verschlüsselungsprogrammen.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.