Новые атаки фальшивым шифровальщиком — потенциальная угроза для Joomla

  • Среда, 25 мая 2016
  • Автор:
Новые атаки фальшивым шифровальщиком — потенциальная угроза для Joomla

Softpedia и Forkbombus Labs сообщают о новой вредоносной кампании, направленной против сайтов на базе CMS Drupal. Злоумышленники взламывают сайты, используя SQL-инъекции, а затем внедряют на сайт фальшивое вымогательское ПО. Злоумышленники сканируют сайты в поисках /CHANGELOG.txt и /joomla.xml. Бот  извлекает информацию о версии системы, на базе которой работает сайт, а затем эксплуатирует уязвимость CVE-2014-3704, чтобы сменить пароль администратора.

Первые жалобы от жертв этой вредоносной кампании начали появляться на форумах Drupal в марте 2016 года. Исследователи Forkbombus Labs подтверждают эту информацию и сообщают, что впервые заметили распространение инфекции 11 марта, и атака начала набирать обороты 18 марта 2016 года.

Уязвимость  на данный момент позволяет проводить SQL-инъекцию, затрагивающая все версии Drupal 7.x (ниже 7.32) и была найдена еще два года назад.

Хотя злоумышлении также ищут файл joomla.xml, сообщений о зараженных сайтах на базе Joomla! CMS пока не поступало. Однако это не означает, что хакеры не займутся Joomla в ближайшее время. Поэтому потенциально под данную уязвимость попадают все старые версии Joomla.

Дабы предотвратить потенциальную атаку мы рекомендуем в корне вашего сайта удалить файлы /CHANGELOG.txt и /joomla.xml, которые могут появиться после обновления системы. Также на JED можно найти разные плагины (один из них Aimy No Generator), которые убирают из html-кода мета-тег уведомляющий о том, что сайт работает на Joomla.

Данная уязвимость дает возможность злоумышленнику получить доступ на сайт жертвы и создать на сайте новую страницу с формой для загрузки файлов. Бот атакующих использует эту форму для загрузки различных скриптов, которые, к примеру, извлекают email-адреса из базы даных и размещают эти данные в sites/default/files/ движка Drupal, в виде скачиваемых файлов. Также удаляется файл .htaccess, чтобы злоумышленники без проблем могли скачать извлеченную из БД информацию.

Далее на сервер загружается бинарный файл, написанный на языке Go, который удаляет форму загрузки файлов и заменяет ее на информацию про требование выкупа: «Веб-сайт заблокирован. Пожалуйста, переведите 1,4 биткоина на адрес 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9 чтобы разблокировать контент».

Сообщается, что в ходе данной вредоносной кампании пострадали уже более 400 сайтов. Исследователи пишут, что за атакой стоит некая серьезная C&C инфраструктура, но не раскрывают деталей, так как расследование еще не закончено. Проверка через blockchain.info показывает, что на кошелек мошенников не было совершено ни одного перевода, то есть пока ни одна из жертв  не заплатила выкуп.

По материалам xakep.ru и Softpedia

Joomla!® CMS — пожалуй, лучшая система управления контентом с открытым исходным кодом

Логотип Joomla

Joomla! — это больше, чем просто программное обеспечение, это люди, включающие разработчиков, дизайнеров, системных администраторов, переводчиков, копирайтеров, и, что самое главное — простых пользователей.

Мы рады пригласить вас в ряды нашего сообщества!

Свернуть

Коротко о главном в Joomla

Новости портала

Новое в блогах

Видео

Форум о Joomla