Heimdal Security publicó un interesante post sobre el aumento de scripts maliciosos que están siendo inyectado en sitios web legítimos con el fin de servir ransomware.
Heimdal Security publicó recientemente un blog interesante sobre el aumento de los scripts maliciosos que están siendo inyectado en sitios web legítimos con el fin de servir malware. Los atacantes comprometen sitios web que ejecutan un sistema de gestión de contenido obsoleto (CMS) y despliegan el popular Neutrino exploit kit.
Las estadísticas confirman que los ladrones comprometen principalmente sitios web de WordPress, En agosto, expertos de la empresa de seguridad Zscaler descubrieron una campaña de malware que se basa en miles de sitios de WordPress secuestrados que alojan el Neutrino Exploit Kit.
De acuerdo con la estática proporcionadas por w3techs.com
"WordPress es utilizado por el 58,8% de todos los sitios web de quien conocemos su sistema de gestión de contenido. Este es el 24,4% de todos los sitios web ".
Esto significa, que aproximadamente mil millones de sitios web legítimos son vulnerables a este tipo de ataques, si profundizamos dividiendo los sitios web de WordPress por versiones tendremos las siguientes situaciones:
Tomando en cuenta, que incluso los casos de WordPress ejecutan plugins desactualizados o con la configuración de seguridad pobre podría ser potencialmente comprometido.
Se trata de un gran número, se ha estimado que 409 millones de personas leen Blogs de WordPress por mes, y de esos, 142 millones de sitios web de fiar pueden ser explotada.
El análisis realizado por Heimdal concluye que el script malicioso se inyecta en las referencias de sitios web ", preparado para el dominio: [.] Thedancingbutterfly Com.
Entonces el dominio thedancingbutterfly.com redirige el tráfico a un Neutrino exploit kit y trata de ofrecer a la PC de la víctima el ransomware Teslacrypt.
Neutrino tratará de explotar vulnerabilidades del reproductor Adobe Flash/Internet Explorer/Acrobat con el fin de comprometer la máquina y descargar payloads más maliciosos.
Todas las vulnerabilidades tienen tasas de detección bajas (en Virustotal), e incluso el dominio utilizado para la inyección de secuencia de comandos para redirigir las víctimas, "[.] Nkzppqzzzumhoap Ml" no tiene una buena tasa de detección:
"El dominio se entrega a través de su propio servidor de nombres ns1 y raíz, y está alojada en Holanda por OpenTLD BV. El mismo servidor contiene otros dominios tóxicos utilizados en ataques que emplean el Neutrino Exploit Kit. ", Señala el mensaje.
Teslacrypt tiene también una tasa dection baja, actual siendo 10/56. Sobre el Teslacrypt, sabemos que encripta muchas extensiones (normalmente los más importantes), las versiones recientes también se dirigen a los datos de juego.
Después de la encriptación de los archivos de los usuarios, la Teslacrypt deja en cada carpeta algo como:
restore_files_ [4 letras al azar] .txt
restore_files_ [4 letras al azar] .html
Los archivos, por supuesto, contienen la información sobre cómo comprar la clave de descifrado.
Teslacrypt también eliminará el shadow en la unidad local mediante el comando:
"C:\WINDOWS\system32\Vssadmin.exe" delete shadows /all /quiet "
Teslacrypt se inyectará a sí mismo en el proceso "iexplore.exe" y "cmd.exe".
Este ransomware también "llama a un amigo", un ladrón de información perteneciente a la familia Pony con el dominio "light-tech [.] Pl."
Si eres dueño de un sitio web o administrador siempre ten en cuenta la importancia de actualizar y parchar, esta es la única manera de evitar problemas para ti y los millones de usuarios de Internet.
Heimdal Security publicó recientemente un blog interesante sobre el aumento de los scripts maliciosos que están siendo inyectado en sitios web legítimos con el fin de servir malware. Los atacantes comprometen sitios web que ejecutan un sistema de gestión de contenido obsoleto (CMS) y despliegan el popular Neutrino exploit kit.
Las estadísticas confirman que los ladrones comprometen principalmente sitios web de WordPress, En agosto, expertos de la empresa de seguridad Zscaler descubrieron una campaña de malware que se basa en miles de sitios de WordPress secuestrados que alojan el Neutrino Exploit Kit.
De acuerdo con la estática proporcionadas por w3techs.com
"WordPress es utilizado por el 58,8% de todos los sitios web de quien conocemos su sistema de gestión de contenido. Este es el 24,4% de todos los sitios web ".
Esto significa, que aproximadamente mil millones de sitios web legítimos son vulnerables a este tipo de ataques, si profundizamos dividiendo los sitios web de WordPress por versiones tendremos las siguientes situaciones:
Tomando en cuenta, que incluso los casos de WordPress ejecutan plugins desactualizados o con la configuración de seguridad pobre podría ser potencialmente comprometido.
Se trata de un gran número, se ha estimado que 409 millones de personas leen Blogs de WordPress por mes, y de esos, 142 millones de sitios web de fiar pueden ser explotada.
El análisis realizado por Heimdal concluye que el script malicioso se inyecta en las referencias de sitios web ", preparado para el dominio: [.] Thedancingbutterfly Com.
Entonces el dominio thedancingbutterfly.com redirige el tráfico a un Neutrino exploit kit y trata de ofrecer a la PC de la víctima el ransomware Teslacrypt.
Neutrino tratará de explotar vulnerabilidades del reproductor Adobe Flash/Internet Explorer/Acrobat con el fin de comprometer la máquina y descargar payloads más maliciosos.
Todas las vulnerabilidades tienen tasas de detección bajas (en Virustotal), e incluso el dominio utilizado para la inyección de secuencia de comandos para redirigir las víctimas, "[.] Nkzppqzzzumhoap Ml" no tiene una buena tasa de detección:
"El dominio se entrega a través de su propio servidor de nombres ns1 y raíz, y está alojada en Holanda por OpenTLD BV. El mismo servidor contiene otros dominios tóxicos utilizados en ataques que emplean el Neutrino Exploit Kit. ", Señala el mensaje.
Teslacrypt tiene también una tasa dection baja, actual siendo 10/56. Sobre el Teslacrypt, sabemos que encripta muchas extensiones (normalmente los más importantes), las versiones recientes también se dirigen a los datos de juego.
Después de la encriptación de los archivos de los usuarios, la Teslacrypt deja en cada carpeta algo como:
restore_files_ [4 letras al azar] .txt
restore_files_ [4 letras al azar] .html
Los archivos, por supuesto, contienen la información sobre cómo comprar la clave de descifrado.
Teslacrypt también eliminará el shadow en la unidad local mediante el comando:
"C:\WINDOWS\system32\Vssadmin.exe" delete shadows /all /quiet "
Teslacrypt se inyectará a sí mismo en el proceso "iexplore.exe" y "cmd.exe".
Este ransomware también "llama a un amigo", un ladrón de información perteneciente a la familia Pony con el dominio "light-tech [.] Pl."
Si eres dueño de un sitio web o administrador siempre ten en cuenta la importancia de actualizar y parchar, esta es la única manera de evitar problemas para ti y los millones de usuarios de Internet.
