Domains, die das Content Management System Joomla nutzen, verbreiten seit Kurzem die Ransomware TeslaCrypt. Darauf weist Brad Duncan, Sicherheitsforscher bei Rackspace, in einem Blogeintrag für das Internet Storm Center hin. Ihm zufolge haben die Hintermänner der Malwarekampagne „admedia“ ihre Strategie geändert. Statt WordPress-Websites anzugreifen, hätten sie es nun auf anfällige Joomla-Seiten abgesehen.
Die Hacker haben dem Forscher zufolge nicht nur ihre Angriffsziele geändert, sie setzen nun auch auf das Exploit Kit Angler statt Nuclear. „In den vergangenen 24 Stunden habe ich Joomla-Seiten gesehen, die ein admedia-Gate generiert haben, sodass diese Kampagne nicht länger auf WordPress-Seiten beschränkt ist“, schreibt Duncan.
Eine kompromittierte Joomla-Seite hostet schädliche, in legitime .js-Dateien eingefügte Skripte, die wiederum JavaScript auf Websites ausführen. Diese Skripte leiten Nutzer zu den admedia-Gateways um, die wiederum ein Exploit Kit anbieten.
Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.
Wie Heise.de berichtet, sind Experten einer Spezialeinheit für Cybercrime des Landeskriminalamts Niedersachsen bei ihren Ermittlungen ebenfalls auf infizierte Joomla-Server gestoßen, die TeslaCrypt verteilten. Demnach waren die Joomla-Installationen jedoch vollständig gepatcht. Die Seiten seien wahrscheinlich durch eine im Dezember geschlossene Zero-Day-Lücke kompromittiert worden – also vor Verfügbarkeit oder Installation des Patches, und erst jetzt über eine Hintertür aktiviert worden.
Die Angriffswelle auf WordPress-Blogs betraf im vergangenen Jahr auch namhafte Websites wie den französischen Streaminganbieter Dailymotion und die britische Zeitung The Independent. Auch hier kamen das Exploit Kit Angler und die Erpressersoftware TeslaCrypt zum Einsatz, die Nutzerdateien verschlüsselt und nur gegen Zahlung eines Lösegelds wieder freigibt.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
