Участились атаки на web-сайты под управлением CMS Joomla


CMSС начала февраля 2016 года специалистами SecurityLab.ru была выявлена вредоносная кампания, направленная на сайты под управлением CMS WordPress. В пятницу, 19 февраля, компания Sucuri сообщила об инфицировании сайтов под управлением Joomla. 20 февраля, исследователи из SANS ISC зафиксировали распространение вредоносного трафика с сайтов под управлением Joomla. В ходе анализа удалось установить, что киберпреступники массово начали атаковать ресурсы, работающие на CMS Joomla.

В результате атаки злоумышленники внедряют на web-сайты JavaScript-сценарии с вредоносным кодом. Скрипт отображает на ресурсе вредоносную рекламу и фреймы <iframe>. Кроме того, скрипт создает несколько бэкдоров и повторно заражает сайт в случае удаления вредоносного ПО.

Посетители зараженных ресурсов перенаправляются на вредоносные сайты, содержащие наборы эксплоитов Nuclear и Angler. В частности пользователи перенаправляются на сайт Admedia, работающий в качестве гейтвея между набором эксплоитов и скомпрометированным ресурсом. В ходе инфицирования на ПК жертв устанавливается вымогательское ПО TeslaCrypt. Вредонос шифрует данные на компьютере, а затем требует выкуп за восстановление доступа к информации.

Стоит отметить, что по сравнению с ресурсами на WordPress сайты на Joomla заражаются реже из-за менее высокой популярности CMS.


Обновлено (22.02.2016 22:57)