Wordpressem se šířilo ransomware Cryptowall

Uživatelé publikační platformy Wordpress byli v ohrožení. Přes Wordpress se šířily zavirované řetězce, které nedovedly většinou rozpoznat ani antiviry.

Výzkumníci z Heimdal Security vysvětlili, že když uživatel navštívil nakaženou webovou stránku, byl přesměrován na IP adresu s Nuclear Exploit Kit, což je taková sbírka různých infekcí, které začnou hledat u uživatele způsob, jak ho napadnout. Ve sbírce jsou třeba infekce, které zneužívají bezpečnostní díry v produktech Adobe (Flash, Reader, Acrobat), nebo v některých produktech společnosti Microsoft (Internet Explorer, Silverlight) a tímto způsobem se do počítače uživatele mohl dostat také ransomware jménem Cryptowall.

Ten jednoduše zašifruje pevný disk a požaduje peníze výměnou za rozšifrovací klíč. Výzkumníci ze společnosti FireEye odhadují, že autor viru už utržil 76 000 dolarů během tří měsíců. To je vlastně relativně malá částka třeba oproti součtu toho, kolik vydělal virus Cryptolocker.

Výzkumníci z Heimdal zkoumali, jak se infekce do Wordpressu dostala. Podle všeho využíval bezpečnostních děr v JavaScriptu. Ten jednoduše přesměrovával tok dat na nějakou z osmdesáti pěti domén s Nuclear Exploit Kit.

Výzkumníci z Heimdal vyzvali Wordpress, aby provedl potřebná opatření. Už tento týden vyšla nová aktualizace, která chyby v JavaScriptu opravuje.

Zdroj: Threat Post