Исследователь из ISC SANS предупреждает, что операторы эксплойт-паков, взломавшие тысячи WordPress-сайтов, запустили новую вредоносную кампанию, в которой на сей раз задействована CMS-система Joomla.

«Группа, ответственная за admedia-кампанию, использующую WordPress, теперь, по всей видимости, нацелилась на Joomla-сайты, — комментирует Брэд Дункан (Brad Duncan), ИБ-исследователь из Rackspace и постоянный блогер ISC SANS. — При заражениях, ассоциируемых с Joomla-сайтами, мы наблюдаем тот же характерный трафик, какой регистрировали во время WordPress-кампании».

Масштабную эксплойт-кампанию с использованием многочисленных редиректоров первыми обнаружили исследователи из Sucuri. В блог-записи Дениса Синегубко от 1 февраля отмечено, что злоумышленники внедрили вредоносный код во все файлы JavaScript на WordPress-сайтах. Этот код атакует пользователей, загружая iFrame с рекламой, а также способен открывать бэкдоры на уязвимом сервере и повторно заражать js-файлы после их очистки.

В результате посетители скомпрометированных сайтов, по свидетельству Heimdal Security, перенаправлялись на сервера-шлюзы Nuclear, а оттуда — на площадки с эксплойтами. За истекший период Nuclear, как отметили в Malwarebytes, успел сменить другой эксплойт-пак — Angler. «Анализ трафика, ассоциируемого с этой эксплойт-кампанией, показал, что ее основной целью является засев вымогательского ПО TeslaCrypt», — пишет Дункан в блоге ISC SANS.

В минувшую пятницу Sucuri в своем комментарии Threatpost подтвердила, что текущая вредоносная кампания распространилась на Joomla. «Тем не менее число зараженных Joomla-сайтов на порядок ниже (как и доля рынка Joomla), — заявил Синегубко в ответном письме. — В некоторых случаях зараженные Joomla- и WordPress-сайты используют один и тот же аккаунт у хостера».

Дункан полагает, что и Angler, и Nuclear в данном случае использует одна и та же криминальная группа. В ходе исследования он проанализировал длинную строку шестнадцатеричного кода — фрагмента скрипта, внедряемого в js-файлы на скомпрометированном сайте. «Если преобразовать шестнадцатеричный код в ASCII, в этой строке обнаружится URL шлюза admedia», — пишет исследователь.

По свидетельству Дункана, строка admedia присутствовала во всех URL, ассоциированных с вредоносными iFrame на WordPress-сайтах. «Из-за этого некоторые, говоря «admedia», имеют в виду трафик, генерируемый в ходе этой кампании, — поясняет эксперт. — Эти admedia-ресурсы работают как шлюз между скомпрометированным сайтом и сервером эксплойт-пака».

Первое заражение на сайте Joomla, ассоциированное с текущей admedia-кампанией, Дункан зарегистрировал 17 февраля. «Я получил всю цепочку событий, — пишет исследователь в блоге. — Она начинается со скомпрометированного сайта, который направляет трафик на шлюз admedia. Со шлюза идет перенаправление на Angler. Наконец, Angler доставляет TeslaCrypt, мы даже зафиксировали часть вызовов C&C зловреда».

Синегубко в свою очередь предположил, что атакующие проводят сканирование на предмет разных уязвимостей на сайтах, использующих WordPress, Joomla и Drupal, а потом заражают все, какие только можно. «Поскольку большинство версий вредоносного кода не зависят от типа CMS (они просто заражают js-файлы, имеющиеся на любой CMS), злоумышленники используют уязвимость, чтобы взломать сервер, загрузить бэкдор и с его помощью отыскать и заразить все js-файлы», — пояснил эксперт.

Согласно Sucuri, пик заражений WordPress (судя по количеству сайтов, подвергшихся чистке) был пройден примерно полторы недели назад.

Категории: Вредоносные программы, Хакеры