Брешь в почтовом сервере Joomla позволяет злоумышленникам использовать взломанный сайт для рассылки спама. Об этом сообщили ИБ-специалисты компании Check Point, обнаружившие случай использования бага в дикой природе. По словам разработчиков CMS, исследователи не сообщили им об уязвимости, поэтому они пока не готовы подтвердить ее наличие.

Как заявили эксперты, ошибка найдена в компоненте Jmail, который отвечает за отправку электронных писем. Используя известные баги Joomla, киберпреступники могут внедрить зашифрованную строку в поле User-Agent HTTP-заголовка. После декодирования она преобразуется в PHP-скрипт, который загружает определенные файлы в целевую директорию на сервере. Такой сценарий применил злоумышленник под псевдонимом Alarg53 для доставки HTML-файла в системный каталог ./libraries/joomla/jmail.php.

Вредоносный объект содержал два PHP-скрипта, предназначенных для отправки электронной почты и загрузки файлов. Злоумышленник использовал их для перехвата управления службой Jmail и последующей рассылки фишинговых сообщений. Как утверждают аналитики, при помощи ранее найденных в Joomla уязвимостей внедрения объектов Alarg53 создал на взломанных ресурсах криминальную инфраструктуру, которая может быть использована для монетизации фишинга.

Киберпреступник хорошо известен ИБ-специалистам — по данным экспертов, на его счету более 15 тыс. взломанных сайтов. Злоумышленник предположительно базируется в Египте, но его атаки носят глобальный характер. Среди жертв Alarg53 можно найти финансовые организации и правительственные учреждения во Франции, Индии, Мексике, Японии, Великобритании и США.

Аналитики рассказали о 0-day на форуме RSA Conference, проходящем в эти дни в Сан-Франциско. При этом, как утверждают разработчики Joomla, специалисты Check Point пренебрегли общепринятой практикой и не проинформировали их о проблеме до публикации результатов своего исследования.

В своем стремлении заработать на рассылке фальшивых писем Alarg53 не одинок. По информации специалистов «Лаборатории Касперского», только за первую половину февраля пользователи антивирусных решений компании кликнули по более чем 4 млн фишинговых ссылок — в два раза больше, чем за аналогичный период прошлого года.

Категории: Спам, Уязвимости, Хакеры