Domains, die das Content Management System Joomla nutzen, verbreiten seit Kurzem die Ransomware TeslaCrypt. Darauf weist Brad Duncan, Sicherheitsforscher bei Rackspace, in einem Blogeintrag für das Internet Storm Center hin. Ihm zufolge haben die Hintermänner der Malwarekampagne „admedia“ ihre Strategie geändert. Statt WordPress-Websites anzugreifen, hätten sie es nun auf anfällige Joomla-Seiten abgesehen.
Die Hacker haben dem Forscher zufolge nicht nur ihre Angriffsziele geändert, sie setzen nun auch auf das Exploit Kit Angler statt Nuclear. „In den vergangenen 24 Stunden habe ich Joomla-Seiten gesehen, die ein admedia-Gate generiert haben, sodass diese Kampagne nicht länger auf WordPress-Seiten beschränkt ist“, schreibt Duncan.
Eine kompromittierte Joomla-Seite hostet schädliche, in legitime .js-Dateien eingefügte Skripte, die wiederum JavaScript auf Websites ausführen. Diese Skripte leiten Nutzer zu den admedia-Gateways um, die wiederum ein Exploit Kit anbieten.
Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.
Wie Heise.de berichtet, sind Experten einer Spezialeinheit für Cybercrime des Landeskriminalamts Niedersachsen bei ihren Ermittlungen ebenfalls auf infizierte Joomla-Server gestoßen, die TeslaCrypt verteilten. Demnach waren die Joomla-Installationen jedoch vollständig gepatcht. Die Seiten seien wahrscheinlich durch eine im Dezember geschlossene Zero-Day-Lücke kompromittiert worden – also vor Verfügbarkeit oder Installation des Patches, und erst jetzt über eine Hintertür aktiviert worden.
Die Angriffswelle auf WordPress-Blogs betraf im vergangenen Jahr auch namhafte Websites wie den französischen Streaminganbieter Dailymotion und die britische Zeitung The Independent. Auch hier kamen das Exploit Kit Angler und die Erpressersoftware TeslaCrypt zum Einsatz, die Nutzerdateien verschlüsselt und nur gegen Zahlung eines Lösegelds wieder freigibt.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.
Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…
Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…
Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…
Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…
Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Betroffen sind…
