Kompromittierte WordPress-Sites führen zu Blackhole Exploit Kit

Originalartikel von Karla Agregado, Fraud Analyst

Trend Micros Sicherheitsforscher sind über verschiedene Berichte auf zahlreiche kompromittierte WordPress-Sites gestoßen, die zu einer CRIDEX-Infektion führen. Die Cyberkriminellen ködern ihre potenziellen Opfer über Spam-Nachrichten, die angeblich von legitimen Absendern wie Better Business Bureau und LinkedIn kommen. Mit Social Engineering-Taktiken versuchen sie, die Empfänger dazu zu verleiten, auf einen darin enthaltenen Link zu klicken.



Hinter diesem Link verbergen sich eine Reihe infizierter WordPress-Website, die die Nutzer auf das Blackhole Exploit Kit weiterleiten, das die unter CVE-2010-0188 und CVE-2010-1885 angeführten Sicherheitslücken ausnützt. Trend Micro konnte den Schädling als Trojaner JS_BLACOLE.IC identifizieren.



Die Analyse der Sicherheitsexperten ergab, dass der Exploit zur Installation des WORM_CRIDEX.IC auf dem betroffenen System führt. Wird der Wurm ausgeführt, verbindet er sich mit einer entfernten Website site http://{Random URL}.ru:8080/rwx/B2_9w3/in/ und lädt seine Konfigurationsdateien herunter.

Auch generiert der Wurm mithilfe des Domain Generating Algorithm (DGA) einige Zufallsdomänen. Dabei handelt es sich um eine wohlbekannte Technik der Cyberkriminellen, mit der sie verhindern, dass Strafverfolgungsbehörden ihre Botnetze abschalten können. Mit DGA lädt der Schädling auch seine Konfigurationsdateien herunter. Das Verhalten des von Trend Micro analysierten Samples hängt im Moment von der Konfigurationsdatei ab. Der Schädling kann eine Datei ausführen, eine Datei oder ein Verzeichnis löschen und Zertifikate aus einem Zertifikatsspeicher holen. Die Experten konnten bei ihren Tests die Konfigurationsdatei nicht herunterladen, da diese nicht mehr verfügbar war.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten. Der File Reputation Service erkennt diese Dateien als Schädlinge.

 

2 Gedanken zu „Kompromittierte WordPress-Sites führen zu Blackhole Exploit Kit

  1. Pingback: Warnung vor infizierten WordPress-Seiten | EXKLUSIVTEXT.de

  2. Pingback: Trend Micro warnt: Spam-Nachrichten locken auf infizierte WordPress-Seiten - datensicherheit.de Informationen zu Datenschutz und Datensicherheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*