t3n News Software

Nach WordPress ist jetzt Joomla dran: Ransomware TeslaCrypt verbreitet sich über JavaScript

Nach WordPress ist jetzt Joomla dran: Ransomware TeslaCrypt verbreitet sich über JavaScript

Die hinter der Malware-Kampagne „admedia“ stehenden Cyberkriminellen haben ihre Strategie geändert. Statt über WordPress-Blogs wird die Ransomware TeslaCrypt jetzt über Joomla-Domains verbreitet.

Nach WordPress ist jetzt Joomla dran: Ransomware TeslaCrypt verbreitet sich über JavaScript

(Foto: cocoate.com  / flickr.com, Lizenz: CC-BY )

TeslaCrypt nimmt Joomla-Seitenbesucher ins Visier

Derzeit hält der Windows-Schädling Locky die (deutsche) IT-Welt in Atem. Mehrere Tausend Rechner sollen schon mit dem Krypto-Trojaner infiziert worden sein. Einen wirksamen Schutz gibt es noch nicht, aber einige Vorkehrungen gegen die Erpressersoftware können getroffen werden.

Jetzt berichtet ein Sicherheitsforscher von einem neuen Angriffsziel der Ransomware TeslaCrypt. Nach WordPress-Blogs hätten es die und die dahinterstehende Kampagne „admedia“ jetzt auf Joomla-Seiten abgesehen.

TeslaCrypt: HTML-Code einer kompromittierten Seite. (Screenshot: Brad Duncan/InfoSec Forums)
TeslaCrypt: HTML-Code einer kompromittierten Seite. (Screenshot: Brad Duncan/InfoSec Forums)

Der Rackspace-Sicherheitsforscher Brad Duncan erklärt in einem Blogeintrag für das „Internet Storm Center“, wie sich Angriffsziele und Vorgangsweise der Cyberkriminellen geändert hätten. Im Januar hatten Sicherheitsexperten von Securi Labs einen Anstieg von WordPress-Seiten registriert, die Besucher über eine speziell präparierte JavaScript-Datei Besucher zu dem Exploit-Kit Nuclear umleiteten. Dort wurden bekannte Sicherheitslücken, unter anderem in Windows, ausgenutzt, um Malware wie die Ransomware TeslaCrypt auf die Rechner zu bringen.

TeslaCrypt: Joomla-Server auf Anzeichen von Malware untersuchen

Jetzt stehen offenbar Joomla-Seiten im Visier. Die Hacker sollen zudem nicht mehr nur auf Nuclear, sondern auch auf das Exploit-Kit „Angler“ setzen. Die kompromittierten Joomla-Seiten hosten demnach in .js-Dateien eingebettete Skripte, die auf den betroffenen Websites ausführen und die Besucher auf admedia-Gates mit den Exploit-Kits umleiten. Joomla-Server-Admins sollten ihre Systeme auf Anzeichen von Infektionen überprüfen, wie heise online berichtet. Neben könnten weitere CMS wie Drupal, aber auch weiterhin betroffen sein.

Bisher hatte sich die Erpressersoftware TeslaCrypt vor allem über E-Mails auf die Rechner geschlichen. Ähnlich wie jetzt Locky nutzte die Ransomware bei ihren Spam-Nachrichten Word-Dateien mit bösartigen Makros. Einmal installiert, verschlüsselt TeslaCrypt Dateien und entschlüsselt sie nur gegen Zahlungen in Form von Bitcoin. So wie bei Locky können sich nichts ahnende Internetnutzer die Ransomware aber offenbar auch beim Surfen im Web einfangen.

via www.zdnet.de

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
2 Antworten
  1. von Hoster am 23.02.2016 (12:50 Uhr)

    Ich hab ja schon mal gefordert das die Checker-Scripte (evtl im Namen des BSI) täglich von den HOSTERN durchzulaufen hätten um infizierte Kunden zu entdecken.
    Die meisten besucher-starken Server stehen ja bei den Hostern zentral durchcheckbar und überwiegend nicht zu Hause.

    Antworten Teilen
  2. von hpreckel am 23.02.2016 (13:03 Uhr)

    Weiß jemand, welche Joomla-Dateien betroffen sind und wie man das überprüfen kann?
    Ist ein Update die einzige Lösung??

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema WordPress
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (April)
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (April)

Bei den großen CMS gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem April stellen wir euch hier kurz vor. » weiterlesen

Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (März)
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (März)

Bei den großen CMS gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem März stellen wir euch hier kurz vor. » weiterlesen

Von der Blog-Plattform zum Domain-Anbieter: Warum Wordpress 19 Millionen Dollar für .blog gezahlt hat
Von der Blog-Plattform zum Domain-Anbieter: Warum Wordpress 19 Millionen Dollar für .blog gezahlt hat

Automattic, das Unternehmen hinter Wordpress, hat vergangenes Jahr die Top-Level-Domain .blog ersteigert. Die Domains will der Blog-Betreiber auch außerhalb von Wordpress verkaufen. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?