Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

За прошедший месяц тысячи сайтов, находящиеся под управлением WordPress и Joomla! были скомпрометированы и перенаправляют пользователей с целью заражения вымогателем CryptXXX.

Все указывает на то, что распространение CryptXXX при помощи скомпрометированных сайтов началось 9 июня, а 3 июля наблюдались пики активности. Согласно Sucuri, по крайней мере, 2000 сайтов содержали вредоносный код, а реальная оценка будет в пять раз выше, так как данные поступали от сканера SiteCheck, который ограничен.

При перенаправлении пользователей используются домены realstatistics[.]info и realstatistics[.]pro. Затем набор эксплоитов Neutrino, который на данный момент занимает лидирующие позиции среди наборов эксплоитов, пытается использовать Flash или PDF-уязвимости на компьютере жертвы. Если это удается, то используя эти уязвимости, на компьютер жертвы загружается вымогатель CryptXXX.

Исследователи Forcepoint отметили, что вышеупомянутые домены, использующиеся для перенаправления пользователей, были замечены и ранее при распространении наборов эксплоитов Neutrino и RIG. Исследователи связывают эти домены с появившейся два года назад Blackhat-TDS – вредоносной системой распределения трафика.

Однако исследователям не удалось пока определить масштабы заражения и то, как именно были скопрометированны сайты. По данным 60% пострадавших сайтов используют устаревшие версии Joomla! и WordPress, но также не исключено, что при заражении использовались уязвимости в плагинах и расширениях.

«Когда CMS устарела, это говорит о многом в отношении владельца сайта. Если владелец не может поддерживать в актуальном состоянии ядро своего сайта, то можно с уверенностью заявить, что модули и расширения так же устарели. А из наших предыдущих исследований можно сделать вывод, что основные атаки направлены именно на наличие уязвимостей в сторонних плагинах и расширениях.», утверждают исследователи.

Имея в своем распоряжении тысячи скомпрометированных веб-сайтов, в том числе некоторые, связанные с безопасностью, например, PCI Policy Portal, злоумышленники могут атаковать десятки тысяч пользователей одновременно. Пару недель назад SentinelOne установили, что менее чем за три недели CryptXXX принес сумму в $50,000только на один Bitcoin-кошелек.

Очевидно, что злоумышленники нацелены на использование новейших, ныне топовых угроз. Это стало понятно после того, как они быстро перешли на набор эксплоитов Neutrino в прошлом месяце, сразу после того, как в прошлом занимающий топовые позиции Angler исчез с рынка. CryptXXX тоже быстро стал лидирующим вымогателем и получил многочисленные обновления за последние пару месяцев.

Наиболее последнее изменение в функционале вымогателя было обнаружено SANS Internet Storm Center – видоизменилась записка с требованиями и начал использоваться новый сайт для оплаты.

Кроме того, Лоуренс Абрамс из BleepingComputer установил, что CryptXXX больше не использует специальное расширение, добавляя его к зашифрованным файлам, а жертвы перенаправляются на специальный сайт для оплаты, называющийся Microsoft Decryptor. В отличие от предыдущего платежного сайта, новый не предоставляет пользователям возможности связаться с администрацией в случае, если возникли какие-либо вопросы по оплате.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновление WinAppSDK сломало механизм деинсталляции в Windows 10

C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.

Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.

На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.

«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.

«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».

Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru