News

Il ransomware TeslaCrypt distribuito attraverso centinaia di siti WordPress compromessi

Gli operatori dei siti web gestiti attraverso WordPress sono stati messi in guardia relativamente alla comparsa di una nuova campagna malevola, la quale utilizza la nota piattaforma CMS per diffondere un’infezione informatica che, per il momento, viene rilevata con difficoltà dai software antivirus.

I ricercatori di Heimdal Security hanno individuato centinaia di siti compromessi, preposti al redirecting degli utenti-vittima verso Nuclear, un potente kit di exploit di cui i malintenzionati fanno uso per attaccare sia i prodotti Adobe che presentano vulnerabilità (Flash, Reader, Acrobat), sia le applicazioni Internet Explorer e Microsoft Silverlight.

Come è noto, alla fine dello scorso mese di novembre, l’exploit pack Nuclear era stato adibito alla diffusione di Cryptowall; nel caso specifico qui esaminato, invece, il payload nocivo è rappresentato dal cryptoblocker TeslaCrypt.

Questo malware, al pari dei suoi “confratelli”, codifica i file custoditi sul disco locale, e poi richiede il pagamento di un riscatto per poter ottenere la necessaria chiave di decrittazione. Secondo le stime di FireEye, all’inizio dello scorso anno, per mezzo di tale software maligno, gli estorsori hanno
complessivamente raccolto
, nell’arco di tre mesi, 76.500 dollari USD; si tratta, ad ogni caso, di una cifra decisamente “modesta”, se paragonata ai profitti milionari illecitamente realizzati dagli altri “colleghi di reparto”, ed in particolar modo dai cybercriminali che si celano dietro CryptoLocker. Lo scorso luglio, era stata poi individuata una nuova versione di TeslaCrypt, mascherata in veste di Cryptowall, malware crittografico ancor più temibile.

Secondo Heimdal, nell’ambito della nuova campagna TeslaCrypt, attualmente in corso, i malintenzionati hanno sfruttato una vulnerabilità rilevata sui siti WordPress, peraltro non ancora identificata, allo scopo di iniettare all’interno di questi ultimi un insidioso JavaScript offuscato. Questo codice maligno reindirizza, in pratica, coloro che visitano i siti compromessi verso il dominio <chrenovuihren>, dove è stata subdolamente collocata una pubblicità malevola, la quale, a sua volta, convoglia tutto il traffico sui server adibiti alla distribuzione di Nuclear. I ricercatori di Heimdal sono riusciti a identificare tre indirizzi IP con specifiche funzioni di gateway: 159[.]203[.]24 [.] 40; 164[.]132[.]80 [.] 71; 162[.]243[.]77 [.] 214.

“Per recapitare il codice nocivo ai potenziali utenti-vittima, questa campagna fa uso di vari domini; i server attivi, quindi, possono essere rapidamente sostituiti in funzione dell’IP utilizzato e dei risultati della ricerca DNS”, – sottolinea Heimdal Security sul proprio blog. Il codice dannoso è stato collocato sui sottodomini del dominio <chrenovuihren>: Heimdal, da parte sua, ha già provveduto a bloccare più di 85 domini attivamente utilizzati nel quadro della campagna in corso. Inizialmente, gli indirizzi malevoli sono stati rilevati soltanto da 2 degli scanner di URL presenti nella “collezione” di VirusTotal.

Tre giorni prima della scoperta effettuata da Heimdal, la società Sucuri aveva segnalato una campagna dalle proporzioni analoghe, la quale prendeva di mira, allo stesso modo, la piattaforma WordPress. Gli esperti di Heimdal suppongono che dietro le quinte dei due attacchi similari operi lo stesso identico gruppo cybercriminale; per il momento, tuttavia, non è stato possibile dimostrare tale ipotesi.

I ricercatori di Sucuri hanno scoperto che i malintenzionati avevano inserito un codice dannoso nella parte finale di tutti i file JavaScript legittimi presenti sui siti web violati. Questo codice malevolo attacca esclusivamente i nuovi visitatori del sito, installando un cookie valido per 24 ore, e introducendo un iFrame invisibile con “Admedia” o “advertising” nel componente percorso dell’URL.

Heimdal invita coloro che gestiscono siti web creati con WordPress ad aggiornare il sistema CMS il più rapidamente possibile (la nuova versione è stata rilasciata la
settimana scorsa
) e, allo stesso tempo, ad effettuare regolarmente copie di backup del file system. I backup eseguiti ad intervalli regolari, con l’utilizzo di vari supporti, ed il tempestivo aggiornamento dei database anti-virus, rappresentano, indubbiamente, le migliori misure di sicurezza da intraprendere per un’adeguata protezione nei confronti dei malware crittografici.

Threatpost

Il ransomware TeslaCrypt distribuito attraverso centinaia di siti WordPress compromessi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox