Il ransomware TeslaCrypt distribuito attraverso centinaia di siti WordPress compromessi

Gli operatori dei siti web gestiti attraverso WordPress sono stati messi in guardia relativamente alla comparsa di una nuova campagna malevola, la quale utilizza la nota piattaforma CMS per diffondere un’infezione informatica che, per il momento, viene rilevata con difficoltà dai software antivirus.

I ricercatori di Heimdal Security hanno individuato centinaia di siti compromessi, preposti al redirecting degli utenti-vittima verso Nuclear, un potente kit di exploit di cui i malintenzionati fanno uso per attaccare sia i prodotti Adobe che presentano vulnerabilità (Flash, Reader, Acrobat), sia le applicazioni Internet Explorer e Microsoft Silverlight.

Come è noto, alla fine dello scorso mese di novembre, l’exploit pack Nuclear era stato adibito alla diffusione di Cryptowall; nel caso specifico qui esaminato, invece, il payload nocivo è rappresentato dal cryptoblocker TeslaCrypt.

Questo malware, al pari dei suoi “confratelli”, codifica i file custoditi sul disco locale, e poi richiede il pagamento di un riscatto per poter ottenere la necessaria chiave di decrittazione. Secondo le stime di FireEye, all’inizio dello scorso anno, per mezzo di tale software maligno, gli estorsori hanno
complessivamente raccolto
, nell’arco di tre mesi, 76.500 dollari USD; si tratta, ad ogni caso, di una cifra decisamente “modesta”, se paragonata ai profitti milionari illecitamente realizzati dagli altri “colleghi di reparto”, ed in particolar modo dai cybercriminali che si celano dietro CryptoLocker. Lo scorso luglio, era stata poi individuata una nuova versione di TeslaCrypt, mascherata in veste di Cryptowall, malware crittografico ancor più temibile.

Secondo Heimdal, nell’ambito della nuova campagna TeslaCrypt, attualmente in corso, i malintenzionati hanno sfruttato una vulnerabilità rilevata sui siti WordPress, peraltro non ancora identificata, allo scopo di iniettare all’interno di questi ultimi un insidioso JavaScript offuscato. Questo codice maligno reindirizza, in pratica, coloro che visitano i siti compromessi verso il dominio <chrenovuihren>, dove è stata subdolamente collocata una pubblicità malevola, la quale, a sua volta, convoglia tutto il traffico sui server adibiti alla distribuzione di Nuclear. I ricercatori di Heimdal sono riusciti a identificare tre indirizzi IP con specifiche funzioni di gateway: 159[.]203[.]24 [.] 40; 164[.]132[.]80 [.] 71; 162[.]243[.]77 [.] 214.

“Per recapitare il codice nocivo ai potenziali utenti-vittima, questa campagna fa uso di vari domini; i server attivi, quindi, possono essere rapidamente sostituiti in funzione dell’IP utilizzato e dei risultati della ricerca DNS”, – sottolinea Heimdal Security sul proprio blog. Il codice dannoso è stato collocato sui sottodomini del dominio <chrenovuihren>: Heimdal, da parte sua, ha già provveduto a bloccare più di 85 domini attivamente utilizzati nel quadro della campagna in corso. Inizialmente, gli indirizzi malevoli sono stati rilevati soltanto da 2 degli scanner di URL presenti nella “collezione” di VirusTotal.

Tre giorni prima della scoperta effettuata da Heimdal, la società Sucuri aveva segnalato una campagna dalle proporzioni analoghe, la quale prendeva di mira, allo stesso modo, la piattaforma WordPress. Gli esperti di Heimdal suppongono che dietro le quinte dei due attacchi similari operi lo stesso identico gruppo cybercriminale; per il momento, tuttavia, non è stato possibile dimostrare tale ipotesi.

I ricercatori di Sucuri hanno scoperto che i malintenzionati avevano inserito un codice dannoso nella parte finale di tutti i file JavaScript legittimi presenti sui siti web violati. Questo codice malevolo attacca esclusivamente i nuovi visitatori del sito, installando un cookie valido per 24 ore, e introducendo un iFrame invisibile con “Admedia” o “advertising” nel componente percorso dell’URL.

Heimdal invita coloro che gestiscono siti web creati con WordPress ad aggiornare il sistema CMS il più rapidamente possibile (la nuova versione è stata rilasciata la
settimana scorsa
) e, allo stesso tempo, ad effettuare regolarmente copie di backup del file system. I backup eseguiti ad intervalli regolari, con l’utilizzo di vari supporti, ed il tempestivo aggiornamento dei database anti-virus, rappresentano, indubbiamente, le migliori misure di sicurezza da intraprendere per un’adeguata protezione nei confronti dei malware crittografici.

Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *