Infos

Joomla impliqué dans la diffusion de TeslaCrypt

Un chercheur de chez ISC SANS nous met en garde contre le fait que les opérateurs de kits d’exploitation qui ont compromis des milliers de sites WordPress ont lancé une nouvelle campagne malveillante qui implique cette fois-ci le système CMS Joomla.

Brad Duncan, chercheur en sécurité de l’information chez Rackspace et collaborateur permanent du blog d’ISC SANS explique que « le groupe responsable de la campagne ‘admedia’ qui utilisait WordPress semble s’intéresser désormais aux sites Joomla. Dans le cadre des infections associées à des sites Joomla, nous remarquons la présence d’un trafic similaire à celui que nous avions pu observer lors de la campagne WordPress. »

Ce sont des chercheurs de Sucuri qui ont été les premiers à découvrir cette campagne massive qui utilise de nombreuses redirections. Dans son billet du 1er février, Deni Sinegubko indique que les individus malintentionnés ont introduit le code malveillant dans tous les fichiers JavaScript sur des sites WordPress. Ce code attaque les utilisateurs en chargeant un iFrame avec une publicité. Il est également capable d’ouvrir des backdoors sur le serveur vulnérable et d’infecter à nouveau les fichiers js quand ceux-ci ont été réparés.

D’après Heimdal Security, les visiteurs des sites compromis étaient redirigés vers les serveurs de passerelle Nuclear et de là, vers les sites hébergeant les codes d’exploitation. Malwarebytes signale qu’au cours de la période écoulée, Nuclear a réussi a remplacé Angler, un autre kit d’exploitation. Brad Duncan écrit dans le blog d’ISC SANS que « l’analyse du trafic associé à cette campagne montre que l’objectif principal est la diffusion du ransomware Teslacrypt ».

Vendredi dernier, Sucuri confirmait dans un entretien avec Threatpost que la campagne malveillante en cours touchait à présent Joomla. Denis Sinegubko précisait toutefois dans son courrier que « le nombre de sites Joomla infectés est de loin inférieur (à l’instar de la part de marché de Joomla ». Dans certains cas, les sites Joomla et WordPress infectés utilisent le même compte chez l’hébergeur ».

Brad Duncan émet l’hypothèse que dans ce cas ci, Anglet et Nuclear sont utilisés par la même organisation criminelle. Au cours de son enquête, il a analysé une longue chaîne de code hexadécimal, un extrait de script introduit dans les fichiers js sur le site compromis. « La conversion du code hexadecimal au format ASCII permet de voir l’URL de la passerelle admedia » écrit le chercheur.

Selon Brad Duncan, la ligne admedia se trouve dans toutes les URL associées aux iFrames malveillants sur les sites WordPress. « Pour cette raison, certains ‘admedia’, tienent compte du trafic généré lors de cette campagne » explique l’expert. Ces ressources ‘admedia’ remplissent le rôle de passerelle entre les sites compromis et le serveur du kit d’exploitation ».

Il a enregistré la première infection d’un site Joomla associée à la campagne « admedia » actuelle le 17 février. « J’ai obtenu toute la séquence des événements » écrit le chercheur dans son blog. Tout commence par un site compromis qui envoie le trafic vers la passerelle ‘admedia’. De là, le trafic est redirigé vers Angler. Et Angler diffuse TeslaCrypt. Nous avons même enregistré une partie des requêtes du malware au serveur de commande.

De son côté, Denis Sinegubko, a émis l’hypothèse que les attaquants réalisaient un balayage à la recherche de diverses vulnérabilités sur les sites qui utilisent WordPress, Joomal et Drupal, puis passent à l’infection d’un maximum d’entre eux. « Dans la mesure où la majorité des versions du code malveillant ne dépend pas du type de CMS (elles infectent uniquement les fichiers js qui se trouvent sur n’importe quel CMS), les individus malintentionnés exploitent une vulnérabilité pour compromettre le serveur, charger une backdoor et utiliser celle-ci pour rechercher et infecter tous les fichiers js » a expliqué l’expert.

D’après Sucuri, le pic des infections de WordPress (sur la base du nombre de sites réparés) a été atteint il y a une dizaine de jours environ.

Fonte: Threatpost

Joomla impliqué dans la diffusion de TeslaCrypt

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception