ΑρχικήsecurityΤο CryptXXX Ransomware μολύνει WordPress και Joomla sites

Το CryptXXX Ransomware μολύνει WordPress και Joomla sites

Οι απατεώνες χρησιμοποιούν ξεπερασμένα CMSs, κυρίως σε WordPress και Joomla ιστοσελίδες, για να πραγματοποιήσουν hijack στην Web κυκλοφορία και για να ανακατευθύνουν τους χρήστες σε ψεύτικες ιστοσελίδες που φιλοξενούν το Neutrino exploit kit που μολύνει τα θύματα με το CryptXXX ransomware.

Σύμφωνα με την Web εταιρεία ασφαλείας, τη Sucuri, αυτή η τελευταία εκστρατεία, που ονομάστηκε Realstatistics, κυκλοφορεί τις δύο τελευταίες εβδομάδες, με τουλάχιστον 100 νέες μολυσμένες ιστοσελίδες που ανιχνεύονται κάθε μέρα, με βάση τα τηλεμετρικά δεδομένα της εταιρείας.

Το CryptXXX Ransomware μολύνει WordPress και Joomla sites

Συνολικά, η εταιρεία αναφέρει ότι ανιχνεύονται τουλάχιστον 2.000 ιστοσελίδες που επηρεάζονται από την εκστρατεία. Επιπλέον, δεδομένου ότι τα δεδομένα που προέρχονται από τις ιστοσελίδες χρησιμοποιούν το Sucuri site checker, ο αριθμός αυτός θα μπορούσε να είναι πραγματικά υψηλότερος. Ο ιδρυτής της Sucuri και ο CTO, Daniel Cid λένε ότι ο πραγματικός αριθμός θα μπορούσε να είναι πέντε φορές μεγαλύτερος.

Εξετάζοντας όλα τα μολυσμένα συστήματα, ο Cid λέει ότι περίπου το 90 τοις εκατό όλων των ιστοσελίδων τρέχει κάποιο είδος CMS πλατφόρμας και ότι οι WordPress και Joomla λογαριασμοί μαζί αποτελούν το 60 τοις εκατό του συνόλου.

Εξετάζοντας τους αριθμούς έκδοσης του CMS, δεν φαίνεται ότι οι απατεώνες εκμεταλλεύονται μια ευπάθεια του πυρήνα, καθώς και τα ενημερωμένα sites βρίσκονται σε κίνδυνο, πράγμα που σημαίνει ότι οι συγγραφείς του Realstatistics είναι πιο πιθανό χρησιμοποιούν ευπάθειες που βρίσκονται σε plugins για να χακάρουν αυτές τις ιστοσελίδες.

Το όνομα Realstatistics προέρχεται από τα realstatistics [.] info και realstatistics [.] pro domains που χρησιμοποιούνται στην καμπάνια. Οι απατεώνες πραγματοποιούν hijack σε αυτά τα sites και προσθέτουν ένα κακόβουλο JS script που φορτώνεται από αυτά τα δύο domains. Μόνο το τελευταίο domain είναι ενεργό σήμερα, που έχει χρησιμοποιηθεί σε hijacked ιστοσελίδες μετά την 1η Ιουλίου.

Το rogue script είναι υπεύθυνο για την εναλλαγή εισερχόμενης κίνησης και την ανακατεύθυνση των χρηστών σε μια άλλη διεύθυνση URL που φιλοξενεί το Neutrino exploit kit. Εδώ, χρησιμοποιώντας Flash ή ευπάθειες του PDF Reader, το exploit kit ωθεί το CryptXXX ransomware στους υπολογιστές που τρέχουν παλαιότερες & ευπαθείς εκδόσεις του λογισμικού αυτού.

Η Google έχει ξεκινήσει την ανίχνευση του κακόβουλου κώδικα που προστίθεται σε αυτές τις ιστοσελίδες, ενώ παράλληλα επισημαίνει και τα μολυσμένα domains .

Οι χρήστες που θέλουν να ελέγξουν τα sites τους μπορούν να χρησιμοποιήσουν Sucuri SiteCheck ή μπορούν να αναζητήσουν τον παρακάτω κώδικα στον πηγαίο κώδικα της σελίδας τους.

< script language=”JavaScript”
src=”http://realstatistics[.]info[/]js/analytic.php?id=4″
< script language=”JavaScript”
src=”http://realstatistics[.]pro[/]js/analytic.php?id=4″

Τέλος, να σημειώσουμε ότι η ίδια Realstatistics καμπάνια αναλύθηκε και από τους ερευνητές ασφαλείας της Forcepoint.

number of infected sites

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS