Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Nach WordPress ist jetzt Joomla dran: Ransomware TeslaCrypt verbreitet sich über JavaScript

    Nach WordPress ist jetzt Joomla dran: Ransomware TeslaCrypt verbreitet sich über JavaScript

(Foto: cocoate.com  / flickr.com, Lizenz: CC-BY )

Die hinter der Malware-Kampagne „admedia“ stehenden Cyberkriminellen haben ihre Strategie geändert. Statt über WordPress-Blogs wird die Ransomware TeslaCrypt jetzt über Joomla-Domains verbreitet.

TeslaCrypt nimmt Joomla-Seitenbesucher ins Visier

Derzeit hält der Windows-Schädling Locky die (deutsche) IT-Welt in Atem. Mehrere Tausend Rechner sollen schon mit dem Krypto-Trojaner infiziert worden sein. Einen wirksamen Schutz gibt es noch nicht, aber einige Vorkehrungen gegen die Erpressersoftware können getroffen werden.

Jetzt berichtet ein Sicherheitsforscher von einem neuen Angriffsziel der Ransomware TeslaCrypt. Nach WordPress-Blogs hätten es die Malware und die dahinterstehende Kampagne „admedia“ jetzt auf Joomla-Seiten abgesehen.

TeslaCrypt: HTML-Code einer kompromittierten Seite. (Screenshot: Brad Duncan/InfoSec Forums)
TeslaCrypt: HTML-Code einer kompromittierten Seite. (Screenshot: Brad Duncan/InfoSec Forums)

Der Rackspace-Sicherheitsforscher Brad Duncan erklärt in einem Blogeintrag für das „Internet Storm Center“, wie sich Angriffsziele und Vorgangsweise der Cyberkriminellen geändert hätten. Im Januar hatten Sicherheitsexperten von Securi Labs einen Anstieg von WordPress-Seiten registriert, die Besucher über eine speziell präparierte JavaScript-Datei Besucher zu dem Exploit-Kit Nuclear umleiteten. Dort wurden bekannte Sicherheitslücken, unter anderem in Windows, ausgenutzt, um Malware wie die Ransomware TeslaCrypt auf die Rechner zu bringen.

TeslaCrypt: Joomla-Server auf Anzeichen von Malware untersuchen

Jetzt stehen offenbar Joomla-Seiten im Visier. Die Hacker sollen zudem nicht mehr nur auf Nuclear, sondern auch auf das Exploit-Kit „Angler“ setzen. Die kompromittierten Joomla-Seiten hosten demnach in .js-Dateien eingebettete Skripte, die auf den betroffenen Websites JavaScript ausführen und die Besucher auf admedia-Gates mit den Exploit-Kits umleiten. Joomla-Server-Admins sollten ihre Systeme auf Anzeichen von Infektionen überprüfen, wie heise online berichtet. Neben Joomla könnten weitere CMS wie Drupal, aber auch weiterhin WordPress betroffen sein.

Bisher hatte sich die Erpressersoftware TeslaCrypt vor allem über E-Mails auf die Rechner geschlichen. Ähnlich wie jetzt Locky nutzte die Ransomware bei ihren Spam-Nachrichten Word-Dateien mit bösartigen Makros. Einmal installiert, verschlüsselt TeslaCrypt Dateien und entschlüsselt sie nur gegen Zahlungen in Form von Bitcoin. So wie bei Locky können sich nichts ahnende Internetnutzer die Ransomware aber offenbar auch beim Surfen im Web einfangen.

via www.zdnet.de

Finde einen Job, den du liebst

2 Reaktionen
hpreckel
hpreckel

Weiß jemand, welche Joomla-Dateien betroffen sind und wie man das überprüfen kann?
Ist ein Update die einzige Lösung??

Antworten
Hoster
Hoster

Ich hab ja schon mal gefordert das die Checker-Scripte (evtl im Namen des BSI) täglich von den HOSTERN durchzulaufen hätten um infizierte Kunden zu entdecken.
Die meisten besucher-starken Server stehen ja bei den Hostern zentral durchcheckbar und überwiegend nicht zu Hause.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen