Forscher registrieren eine Zunahme der Infektionen mit der Erpressersoftware CryptXXX, an denen neue kompromittierte Sites Schuld sind, die die Nutzer auf das Exploit-Pack Neutrino umleiten. Laut Angaben von Invincea werden die Websites über eine Sicherheitslücke im WordPress-Plugin Revolution slider gehackt, das normalerweise für Slideshows verwendet wird.
Nach den Worten von Pat Belcher, leitender Virenanalyst bei Invincea, ist das Botnetz SoakSoak, das seit dem Jahr 2014 im Netz aktiv ist und häufig für den automatisierten Scan von Websites auf das Vorhandensein von Sicherheitslücken verwendet wird, in die neuen Attacken involviert. „Wir beobachten einen sprunghaften Anstieg von Attacken dieses Typs, die die Slideshow- und Videokomponenten populärer Sites angreifen“, erklärte der Vertreter des Unternehmens.
Unter den Opfern der laufenden Redirect-Kampagne sind auch die offizielle Tourismus-Website Guatemalas und die Website eines mexikanischen Unternehmens, das für die städtische Wasserversorgung zuständig ist. Alle kompromittierten Ressourcen von Businessstrukturen leiten die Besucher auf eine Landing-Page von Neutrino um, das Exploit-Pack, das für die Verteilung von CryptXXX verantwortlich ist.
„Unseren Beobachtungen zufolge werden Botnetze des Typs SoakSoak transformiert und ändern ihre Payload: Sie entsagen den gewohnten trojanischen Klickern und Passwort-stehlenden Schadprogrammen und spezialisieren sich auf Ransomware“, stellt Belcher fest.
Die Botmaster von SoakSoak ändern auch ihre Taktik und greifen nun neue Website-Gruppen an, Doch ihre Vorliebe gilt nach wie vor der CMS-Plattform WordPress, und sie gehen davon aus, dass die breite Masse der Besucher solcher Sites auch den Internet Explorer unter Windows benutzt. Mit WordPress erstellte Websites sind überaus beliebt bei den Betreibern von Exploit-Packs. Anfang des laufenden Jahres warnten Forscher vom ISC SANS die Internet-Community vor der in dem Moment aktuellen Exploit-Kampagne, die gehackte WordPress- und Joomla-Sites einsetzt.
Die Experten von Invincea überwachen die von dem Botnetz SoakSoak durchgeführten Attacken gegen mit WordPress erstellte Websites, die potentiell angreifbare Plugins in der Art von Revslider verwenden, fortwährend. Belcher erklärte, dass Hacker über Revslider ein Skript einschleusen, das den Anwender bei einem Klick auf eine Slideshow oder auf ein Video auf Neutrino-Ressourcen umleitet.
In ihrem Bericht über die laufende Kampagne wies Invincea besonders darauf hin, dass SoakSoak äußerst aggressiv und die Sicherheitslücke in Revslider weit verbreitet ist. Google hat bereits vor zwei Jahren damit begonnen, WordPress-Sites, die mit Hilfe von SoakSoak kompromittiert wurden, massenhaft in Schwarze Listen aufzunehmen. Zu dem Zeitpunkt drangen die Angreifer über eine veraltete Version (4.1.4) von Revslider in legitime Ressourcen ein. Leider wird in der neuen Untersuchung von Invincea der Schuldige, der für die Hacks verantwortlich ist, nicht genannt.
Quelle: Threatpost
Source: DE Securelist info