Infos

Compromission de WordPress pour les infections par TeslaCrypt

Les exploitants de sites tournant sous WordPress ont été mis en garde contre une nouvelle campagne malveillante qui utilise cette plateforme pour propager une infection que les logiciels antivirus détectent avec difficulté jusqu’à présent.

Des chercheurs de Heimdal Security ont découvert des centaines de sites compromis qui redirigent les internautes vers Nuclear, un puissant kit d’exploitation pour les applications Adobe vulnérables (Flash, Reader, Acrobat), ainsi que pour Internet Explorer et Microsoft Silverlight.

A la fin du mois de novembre, le kit d’exploitation Nuclear a été amélioré en vue de pouvoir diffuser Cryptowall ; dans le cas présent, la charge utile cible est le malware de chiffrement TeslaCrypt.

A l’instar de son confrère, ce malware chiffre les fichiers sur le disque local et exige le paiement d’une rançon pour obtenir la clé de déchiffrement. D’après les estimations de FireEye, les escrocs ont récolté ainsi en trois mois au début de l’année dernière près de 76,5 mille de dollars. Ce montant est toutefois modeste si on le compare aux revenus d’autres « collègues », notamment les exploitants de Cryptolocker. Une nouvelle version de Teslacrypt a été découverte en juillet dernier. Elle se dissimule sous les traits de son collègue plus dangereux Cryptowall.

D’après les informations obtenues par Heimdal, dans le cadre de la campagne Teslacrypt actuelle, les individus malintentionnés ont exploité une vulnérabilité toujours inconnue sur les sites WordPress afin d’y introduire un code JavaScript obfusqué. Ce code malveillant redirige les visiteurs vers le domaine chrenovuihren qui héberge une publicité malveillante. Celle-ci renvoie à son tour tout le trafic vers le serveur de Nuclear. Heimdal a réussi à identifier trois adresses IP qui fonctionnent comme des passerelles : 159[.]203[.]24 [.] 40; 164[.]132[.]80 [.] 71; 162[.]243[.]77 [.] 214.

« Cette campagne utilise plusieurs domaines pour diffuser le code malveillant et les serveurs actifs peuvent être rapidement substitués en fonction de l’adresse IP utilisée et des résultats des recherches DNS » expliquent les chercheurs dans le blog. Le code malveillant est hébergé dans les sous-domaine chrenovuihren ; Heimdal a déjà bloqué plus de 85 domaines qui étaient activement utilisés dans cette campagne. Au début, ils n’étaient détectés que par 2 scanneurs d’adresses Internetde la collection VirusTotal.

Trois jours après la découverte réalisée par Heimdal, la société Sucuri a signalé une campagne d’envergure similaire qui visait WordPress. Les experts de Heimdal estiment que le même groupe criminel est à l’origine des deux attaques, mais ils n’ont pas encore réussi à le prouver.

Des chercheurs de chez Sucuri ont découvert que des individus malintentionnés avaient introduit un code malveillant à la fin de tous les fichiers JavaScript légitimes sur les sites compromis. Ce code attaque uniquement les nouveaux visiteurs : il installe un cookie pour 24 heures et introduit un iFrame invisible avec « Admedia » ou « advertising » dans le composant du chemin de l’URL.

Heimdal invite les exploitants de sites WordPress à mettre à jour le plus vite possible le système CMS (une nouvelle version a été diffusée la semaine dernière) et à réaliser des sauvegardes du système de fichier à intervalle régulier. La définition d’une stratégie de sauvegarde sur différents supports et la mise à jour en temps opportuns des bases antivirus constituent la meilleure protection contre les malwares de chiffrement.

Threatpost

Compromission de WordPress pour les infections par TeslaCrypt

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception