Εμπειρογνώμονες ασφάλειας της εταιρείας Heimdal Security έχουν εντοπίσει μια νέα εκστρατεία ransomware η οποία βασίζεται στο Neutrino Exploit Kit για τη διάδοση του ransomware Teslacrypt στα θύματα, μέσω δικτυακών ιστότοπων που τρέχουν παλαιότερες εκδόσεις του WordPress.
Οι ερευνητές δεν αποκλείουν το ενδεχόμενο οι επιθέσεις να πραγματοποιούνται και μέσω άλλων Συστημάτων Διαχείρισης Περιεχομένου (CMSs) ή μέσω μη ενημερωμένων CMS plugins, όμως στις περισσότερες από τις παρατηρηθείσες περιπτώσεις έχουν αξιοποιηθεί παλαιότερες εκδόσεις του WordPress.
Σύμφωνα με την έκθεση της Heimdal, οι επιτιθέμενοι χρησιμοποιούν γνωστά κενά ασφαλείας που υπάρχουν σε παλαιότερες ιστοσελίδες WordPress (ή plugins) παραβιάζοντας τα συστήματα, και στη συνέχεια εκχύουν κακόβουλα scripts στον πηγαίο κώδικα. Τα scripts αυτά ανακατευθύνουν τους χρήστες σε ιστοσελίδες όπου φιλοξενείται το Neutrino exploit kit.
Εν συνεχεία το Νeutrino, αξιοποιώντας μεν εξελιγμένες δυνατότητες και χαρακτηριστικά, εκμεταλλευόμενο δε κενά ασφάλειας λογισμικών όπως Adobe Flash Player, Adobe Reader, ή Internet Explorer, μολύνει τα θύματα με μια παραλλαγή του ransomware Teslacrypt.
[signoff icon=”icon-target”]Σύμφωνα με τους ερευνητές, ο ιστότοπος thedancingbutterfly.co χρησιμοποιούταν από τους επιτιθέμενους για την αποθήκευση κακόβουλων scripts, τα οποία ανακατεύθυναν τους χρήστες στην ιστοσελίδα nkzppqzzzumhoap.ml, όπου και φιλοξενούταν το exploit kit. To τελευταίο domain φιλοξενείται στην Ολλανδία, στους διακομιστές μιας εταιρείας Web hosting, οι οποίοι έχουν χρησιμοποιηθεί ξανά στο παρελθόν για την φιλοξενία παρόμοιων κακόβουλων εκστρατειών.[/signoff]
Αφού διεισδύσει τους υπολογιστές των θυμάτων, το ransomware Teslacrypt αναλαμβάνει δράση κλειδώνοντας πλήθος αρχείων, ενώ παράλληλα αφήνει ένα .txt και ένα .html αρχείο στην επιφάνεια εργασίας του χρήστη, εξηγώντας τη διαδικασία που απαιτείται για την επιτυχή επανάκτηση των αρχείων.
Σε ορισμένες περιπτώσεις, εκτός από την κρυπτογράφηση αρχείων, το ransomware κατεβάζει και εγκαθιστά ένα infostealer βασισμένο στο Pony malware, το οποίο προέρχεται από το domain light-tech.pl.
