TeslaCrypt Ransomware se Propage de Façon Agressive par des Sites WordPress Compromis
L'infection de type ransomware a été l'un des types les plus agressifs de logiciels malveillants que nous avons rencontrés au cours de la dernière année. Toute une nouvelle menace de type ransomware, enrichit la portée des escrocs informatiques quie collectent efficacement les frais de rançon et leur nombre augmente de façon exponentielle. Il s'avère que les cybercriminels qui participent à la propagation de nouvelles menaces de type ransomware lancent des campagnes de sites WordPress compromis pour diffuser une variante de l'infection TelsaCrypt Ransomware.
Des chercheurs de Heimdal Security ont découvert des cas où une campagne connue pour pousser le Neutrino Exploit Kit, propageant efficacement le malware Backdoor.Andromeda, est utilisée sur des sites WordPress compromis dans le but de propager TeslaCrypt Ransomware. Nous avons eu une expérience avec TeslaCrypt Ransomware, et il a été évincé comme une menace avec un faible taux de détection permettant essentiellement de se propager plus vite que d'autres menaces similaires.
L'abondance des domaines déjà utilisés pour transmettre TeslaCrypt a récemment augmenté ces dernières semaines. Jusqu'à présent, Heimdal Security a bloqué au moins 85 des sites vérifiés comme étant des sites WordPress compromis, parmis les domaines utilisés pour la propagation de TeslaCrypt Ransomware.
Nous avons déjà rapporté que TeslaCrypt Ransomware était tansmi à travers les sites WordPress obsolètes à l'aide de Neutrino Exploit Kit. Maintenant, la même campagne se poursuit avec des méthodes d'attaque mises à jour et extrêmement agressives.
Les sites WordPress ont souvent été une plate-forme d'attaque pour les escrocs informatiques. Le logiciel WordPress, l'une des plates-formes de gestion de contenu les plus utilisées pour le développement Web, est un type de code source ouvert qui peut être facilement exploité par les pirates informatiques. Ce n'est pas une surprise que nous voyons une autre instance de sites WordPress compromise dans le but de propagation de logiciels malveillants. Dans ce cas, il s'agit d'une forme agressive connue sous le nom de TeslaCrypt Ransomware.
Comme nous le savons avec TeslaCrypt Ransomware, c'est une des nombreuses menaces récentes qui cryptent les fichiers sur un ordinateur infecté et offre ensuite à l'utilisateur une méthode pour déchiffrer les fichiers. Le seul problème ici, c'est que pour décrypter les fichiers, ce qui va restaurer le système piraté et ses fichiers chiffrés à un fonctionnement normal, l'utilisateur doit payer des frais pour la clé de déchiffrement. Habituellement, le prix pour le décryptage coûte de 500 $ à plus de 1000 $, ce qui assure aux escrocs informatiques derrière TeslaCrypt une belle journée de paie.
En analysant les détails techniques de l'attaque mise à jour dans les sites WordPress compromis, il a été découvert que le malware est programmé pour injecter des fichiers JavaScript portant du code malveillant. Dans le code, il existe des instructions pour les sites hébergés sur le même serveur pour tous être infecté avec le malware.
Il est possible que les chercheurs remarquent d'abord des traits spécifiques qui ont permis à la campagne de se répandre uniquement pour fournir des publicités intempestives agaçantes. Tôt ou tars, le logiciel malveillant évolue en une menace beaucoup plus sérieuse en redirigeant les utilisateurs vers un kit de programmes.
Grâce à des redirections cachées, le logiciel malveillant responsable de la propagation de ransomware commence à évoluer et à transmettre les menaces sur les ordinateurs administrés par des utilisateurs d'ordinateurs peu méfiants. C'est le cas où les utilisateurs utilisent un bloqueur de publicités, et les redirections cachées automatiques peuvent se produire sans que l'utilisateur remarque et installe la menace.