Erpresser-Malware TeslaCrypt wird über Joomla-Domains verteilt
Die Urheber dehnen ihre bislang auf WordPress-Blogs limitierte Kampagne auf das Joomla-CMS aus. Besucher werden mit speziell gestalteten Skripten von legitimen Joomla-Seiten zum Exploit-Kit Angler weitergeleitet. Das setzt wiederum auf Lücken in den PCs der Besucher für die Ransomware-Installation.
Domains, die das Content Management System (CMS) Joomla verwenden, verteilen neuerdings die Erpresser-Software TeslaCrypt. Davor warnt Brad Duncan, Sicherheitsexperte bei Rackspace, in einem Blogbeitrag für das Internet Storm Center. Die Urheber der Schadsoftwarekampagne “admedia” haben ihm zufolge ihre Strategie geändert. Anstelle von WordPress-Websites würden sie jetzt verwundbare Joomla-Seiten attackieren.
Das Sicherheitsunternehmen Securi Labs hatte die admedia-Kampagne im Januar enthüllt. Zu dem Zeitpunkt bemerkte sie einen signifikanten Anstieg von WordPress-Seiten, die eine speziell präparierte JavaScript-Datei hosteten. Solche Seiten leiteten Besucher zum Nuclear-Exploit-Bausatz, das bekannte Schwachstellen in Windows und anderer Software ausnutzt, um Schadprogramme wie die Ransomware TeslaCrypt einzuschleusen.
Dem Forscher zufolge haben die Angreifer nicht nur ihre Angriffsziele geändert, sondern nutzen jetzt auch den Exploit-Kit Angler anstelle von Nuclear. “In den vergangenen 24 Stunden habe ich Joomla-Seiten gesehen, die ein admedia-Gate generiert haben, sodass diese Kampagne nicht länger auf WordPress-Seiten beschränkt ist”, schreibt Duncan.
Eine kompromittierte Joomla-Seite hostet schädliche, in legitime .js-Dateien eingefügte Skripte, die wiederum JavaScript auf Websites ausführen. Diese Skripte leiten Nutzer zu den admedia-Gateways um, die wiederum ein Exploit Kit bereitstellen.
Wie Heise.de meldet, sind Experten einer Spezialeinheit für Cybercrime des Landeskriminalamtes Niedersachsen bei ihren Ermittlungen ebenfalls auf infizierte Joomla-Server gestoßen, die TeslaCrypt verbreiteten. Demzufolge waren die Joomla-Installationen jedoch vollständig gepatcht. Die Seiten seien wahrscheinlich durch eine im Dezember geschlossene Zero-Day-Lücke kompromittiert worden – also bevor ein Patch erhältlich war und installiert werden konnte -, und erst jetzt über eine Backdoor aktiviert worden.
Die Angriffswelle auf WordPress-Blogs betraf im letzten Jahr auch namhafte Websites wie den französischen Streaminganbieter Dailymotion und die britische Zeitung The Independent. Auch hier kamen das Exploit-Kit Angler und die Ransomware TeslaCrypt zum Einsatz, die Nutzerdateien verschlüsselt und nur gegen Zahlung eines Lösegelds wieder freigibt.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de