Anche i siti Joomla! coinvolti nello schema di distribuzione del ransomware TeslaCrypt

Un ricercatore dell’Internet Storm Center (ISC), struttura operante presso il SANS Institute, ha lanciato un preoccupante segnale di allarme: i malintenzionati che, di recente, hanno compromesso migliaia di siti WordPress, facendo poi uso di temibili exploit pack, hanno avviato una nuova campagna malevola, allestita per bersagliare, questa volta, la nota piattaforma CMS (Content Management System) denominata “Joomla!”.

“Il gruppo cybercriminale responsabile della conduzione della campagna ‘admedia’ che ha preso di mira WordPress, con ogni probabilità, ha adesso rivolto le proprie losche attenzioni ai siti Joomla!, – afferma Brad Duncan, ricercatore di Rackspace esperto in sicurezza IT, e assiduo blogger presso l’ISC di SANS. – Nel caso delle infezioni riconducibili ai siti web realizzati attraverso Joomla! osserviamo, in effetti, la stessa tipologia di traffico che ha caratterizzato, in precedenza, la campagna destinata a colpire la piattaforma WordPress”.

Tale campagna nociva, di vaste proporzioni, basata sul dispiegamento di insidiosi exploit da parte dei criminali informatici, prevede l’utilizzo di un elevato numero di redirector: i primi a scoprirla sono stati, di fatto, i ricercatori di Sucuri. Nel blog post di Denis Sinegubko, pubblicato lo scorso 1° febbraio, si sottolineava, a tal proposito, come i malintenzionati avessero inserito del codice dannoso, in forma criptata, nella parte finale di tutti i file JavaScript legittimi presenti sui siti WordPress violati. Si trattava, nella fattispecie, di codice malevolo preposto ad attaccare i nuovi visitatori del sito web compromesso, attraverso l’upload di un iFrame con contenuti pubblicitari; allo stesso tempo, tale codice maligno avrebbe provveduto a creare ed aprire apposite backdoor sui server vulnerabili, per poter poi infettare nuovamente i file JavaScript una volta che questi ultimi fossero stati “ripuliti” dal malware.

Secondo i ricercatori di Heimdal Security, i visitatori dei siti Internet violati sarebbero stati così rediretti verso i server gateway di Nuclear, e da lì verso i siti web malevoli contenenti il pericoloso exploit pack. In seguito, come ha osservato Malwarebytes, si è verificato un importante cambiamento nella strategia offensiva dei cybercriminali; questi ultimi, in effetti, sono passati all’utilizzo di un altro kit di exploit, ovvero Angler. “L’analisi del traffico ascrivibile a questa campagna nociva ha chiaramente dimostrato come lo scopo principale della stessa sia rappresentato dalla distribuzione, o per meglio dire da una vera e propria “semina”, del famigerato ransomware TeslaCrypt”, scrive Brad Duncan sul blog dell’Internet Storm Center del SANS Institute.

Venerdì scorso, Sucuri ha confermato, commentando quanto pubblicato in precedenza su Threatpost, come la suddetta campagna malevola, tuttora in corso, si sia di fatto estesa anche a Joomla!. “Il numero dei siti Joomla! infettati dal malware è ad ogni caso nettamente inferiore (al pari della quota di mercato attribuibile alla piattaforma Joomla! rispetto a WordPress), – ha affermato Denis Sinegubko nella sua replica. – In alcuni casi i siti Joomla! e WordPress infetti utilizzano lo stesso account di hosting”.

Brad Duncan ritiene che, nel caso qui esaminato, dietro agli attacchi informatici condotti mediante l’utilizzo degli exploit pack Angler e Nuclear si celi lo stesso identico gruppo cybercriminale. Nell’effettuare la propria ricerca, Duncan ha analizzato una lunga stringa di codice esadecimale, relativa ad un frammento dello script nocivo iniettato nei file .js presenti sul sito web compromesso. “Convertendo il codice esadecimale in ASCII, si individuerà, all’interno della stringa, l’URL relativo al gateway ‘admedia’”, – scrive il ricercatore.

Secondo Brad Duncan, la stringa ‘admedia’ risultava presente in tutti gli URL associati all’iFrame maligno inserito all’interno dei siti WordPress. “È per questo motivo che alcuni utilizzano il termine ‘admedia’ riferendosi proprio al traffico generato nel corso di tale campagna, – precisa l’esperto. – Queste risorse ‘admedia’ agiscono in funzione di gateway tra sito web compromesso e server adibito ad “ospitare” gli exploit pack”.

Duncan ha rilevato la prima infezione su un sito Joomla!, correlata all’attuale campagna ‘admedia’, lo scorso 17 febbraio. “Ho potuto ricostruire l’intera “catena” degli eventi malevoli che si succedono, – scrive nel blog il ricercatore di Rackspace. – Essa inizia con un sito web compromesso, che provvede a indirizzare il traffico verso il gateway ‘admedia’. Dal gateway, l’utente-vittima viene poi rediretto verso il kit di exploit Angler. Quest’ultimo, infine, genera la distribuzione del ransomware TeslaCrypt; abbiamo persino individuato una parte delle chiamate dirette al C&C del malware”.

Denis Sinegubko, da parte sua, ha ipotizzato che gli attacker possano eseguire apposite scansioni dei siti che utilizzano WordPress, Joomla e Drupal, in cerca di vulnerabilità di vario genere; in seguito, i malintenzionati provvedono ad infettare tutti i siti Internet che, di fatto, possono essere compromessi dal malware. “Visto che la maggior parte delle versioni di codice dannoso utilizzate nell’occasione non dipende dal tipo di piattaforma CMS da sottoporre ad attacco (esse infettano semplicemente i file JavaScript presenti su qualsiasi sistema CMS), i malfattori sfruttano le vulnerabilità per violare il server, caricare la backdoor e, con l’ausilio di quest’ultima, individuare ed infettare tutti i file .js”, – ha precisato l’esperto.

Secondo quanto asserisce Sucuri, il picco delle infezioni dei siti WordPress (a giudicare dal numero di siti sottoposti ad apposita operazione di “pulizia”) si è registrato circa una settimana e mezzo fa.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *