Categories: SicherheitVirus

TeslaCrypt-Ransomware verbreitet sich über Joomla-Domains

Domains, die das Content Management System Joomla nutzen, verbreiten seit Kurzem die Ransomware TeslaCrypt. Darauf weist Brad Duncan, Sicherheitsforscher bei Rackspace, in einem Blogeintrag für das Internet Storm Center hin. Ihm zufolge haben die Hintermänner der Malwarekampagne „admedia“ ihre Strategie geändert. Statt WordPress-Websites anzugreifen, hätten sie es nun auf anfällige Joomla-Seiten abgesehen.

Die admedia-Kampagne hatte die Sicherheitsfirma Securi Labs im Januar öffentlich gemacht. Sie beobachtete zu dem Zeitpunkt einen deutlichen Anstieg von WordPress-Seiten, die eine speziell präparierte JavaScript-Datei hosteten. Solche Seiten leiteten Besucher zum Nuclear-Exploit-Kit, das bekannte Sicherheitslücken in Windows und anderer Software ausnutzt, um Schadsoftware wie die Ransomware TeslaCrypt einzuschleusen.

Die Hacker haben dem Forscher zufolge nicht nur ihre Angriffsziele geändert, sie setzen nun auch auf das Exploit Kit Angler statt Nuclear. „In den vergangenen 24 Stunden habe ich Joomla-Seiten gesehen, die ein admedia-Gate generiert haben, sodass diese Kampagne nicht länger auf WordPress-Seiten beschränkt ist“, schreibt Duncan.

Eine kompromittierte Joomla-Seite hostet schädliche, in legitime .js-Dateien eingefügte Skripte, die wiederum JavaScript auf Websites ausführen. Diese Skripte leiten Nutzer zu den admedia-Gateways um, die wiederum ein Exploit Kit anbieten.

WEBINAR

Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern

Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.

Wie Heise.de berichtet, sind Experten einer Spezialeinheit für Cybercrime des Landeskriminalamts Niedersachsen bei ihren Ermittlungen ebenfalls auf infizierte Joomla-Server gestoßen, die TeslaCrypt verteilten. Demnach waren die Joomla-Installationen jedoch vollständig gepatcht. Die Seiten seien wahrscheinlich durch eine im Dezember geschlossene Zero-Day-Lücke kompromittiert worden – also vor Verfügbarkeit oder Installation des Patches, und erst jetzt über eine Hintertür aktiviert worden.

Die Angriffswelle auf WordPress-Blogs betraf im vergangenen Jahr auch namhafte Websites wie den französischen Streaminganbieter Dailymotion und die britische Zeitung The Independent. Auch hier kamen das Exploit Kit Angler und die Erpressersoftware TeslaCrypt zum Einsatz, die Nutzerdateien verschlüsselt und nur gegen Zahlung eines Lösegelds wieder freigibt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago