Joomla impliqué dans la diffusion de TeslaCrypt

Un chercheur de chez ISC SANS nous met en garde contre le fait que les opérateurs de kits d’exploitation qui ont compromis des milliers de sites WordPress ont lancé une nouvelle campagne malveillante qui implique cette fois-ci le système CMS Joomla.

Brad Duncan, chercheur en sécurité de l’information chez Rackspace et collaborateur permanent du blog d’ISC SANS explique que « le groupe responsable de la campagne ‘admedia’ qui utilisait WordPress semble s’intéresser désormais aux sites Joomla. Dans le cadre des infections associées à des sites Joomla, nous remarquons la présence d’un trafic similaire à celui que nous avions pu observer lors de la campagne WordPress. »

Ce sont des chercheurs de Sucuri qui ont été les premiers à découvrir cette campagne massive qui utilise de nombreuses redirections. Dans son billet du 1er février, Deni Sinegubko indique que les individus malintentionnés ont introduit le code malveillant dans tous les fichiers JavaScript sur des sites WordPress. Ce code attaque les utilisateurs en chargeant un iFrame avec une publicité. Il est également capable d’ouvrir des backdoors sur le serveur vulnérable et d’infecter à nouveau les fichiers js quand ceux-ci ont été réparés.

D’après Heimdal Security, les visiteurs des sites compromis étaient redirigés vers les serveurs de passerelle Nuclear et de là, vers les sites hébergeant les codes d’exploitation. Malwarebytes signale qu’au cours de la période écoulée, Nuclear a réussi a remplacé Angler, un autre kit d’exploitation. Brad Duncan écrit dans le blog d’ISC SANS que « l’analyse du trafic associé à cette campagne montre que l’objectif principal est la diffusion du ransomware Teslacrypt ».

Vendredi dernier, Sucuri confirmait dans un entretien avec Threatpost que la campagne malveillante en cours touchait à présent Joomla. Denis Sinegubko précisait toutefois dans son courrier que « le nombre de sites Joomla infectés est de loin inférieur (à l’instar de la part de marché de Joomla ». Dans certains cas, les sites Joomla et WordPress infectés utilisent le même compte chez l’hébergeur ».

Brad Duncan émet l’hypothèse que dans ce cas ci, Anglet et Nuclear sont utilisés par la même organisation criminelle. Au cours de son enquête, il a analysé une longue chaîne de code hexadécimal, un extrait de script introduit dans les fichiers js sur le site compromis. « La conversion du code hexadecimal au format ASCII permet de voir l’URL de la passerelle admedia » écrit le chercheur.

Selon Brad Duncan, la ligne admedia se trouve dans toutes les URL associées aux iFrames malveillants sur les sites WordPress. « Pour cette raison, certains ‘admedia’, tienent compte du trafic généré lors de cette campagne » explique l’expert. Ces ressources ‘admedia’ remplissent le rôle de passerelle entre les sites compromis et le serveur du kit d’exploitation ».

Il a enregistré la première infection d’un site Joomla associée à la campagne « admedia » actuelle le 17 février. « J’ai obtenu toute la séquence des événements » écrit le chercheur dans son blog. Tout commence par un site compromis qui envoie le trafic vers la passerelle ‘admedia’. De là, le trafic est redirigé vers Angler. Et Angler diffuse TeslaCrypt. Nous avons même enregistré une partie des requêtes du malware au serveur de commande.

De son côté, Denis Sinegubko, a émis l’hypothèse que les attaquants réalisaient un balayage à la recherche de diverses vulnérabilités sur les sites qui utilisent WordPress, Joomal et Drupal, puis passent à l’infection d’un maximum d’entre eux. « Dans la mesure où la majorité des versions du code malveillant ne dépend pas du type de CMS (elles infectent uniquement les fichiers js qui se trouvent sur n’importe quel CMS), les individus malintentionnés exploitent une vulnérabilité pour compromettre le serveur, charger une backdoor et utiliser celle-ci pour rechercher et infecter tous les fichiers js » a expliqué l’expert.

D’après Sucuri, le pic des infections de WordPress (sur la base du nombre de sites réparés) a été atteint il y a une dizaine de jours environ.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *