Злоумышленники инфицируют сайты вредоносным ПО, внедряющим код во все JavaScript-сценарии.
В начале февраля нынешнего года SecurityLab.ru сообщал о вредоносной кампании, направленной на сайты под управлением CMS WordPress. Как выяснилось, киберпреступники также начали атаковать ресурсы, работающие на CMS Joomla. По словам исследователя SANS ISC Брэда Дункана (Brad Duncan), соответствующий вредоносный трафик начал распространяться с сайтов под управлением Joomla.
Злоумышленники внедряют на web-сайты JavaScript-сценарии с вредоносным кодом. Скрипт отображает на ресурсе вредоносную рекламу и фреймы <iframe>, а также создает несколько бэкдоров и повторно заражает сайт в случае удаления вредоносного ПО.
Посетители зараженных ресурсов перенаправляются на вредоносные сайты, содержащие наборы эксплоитов Nuclear и Angler. Злоумышленники инфицируют ПК жертв вымогательским ПО TeslaCrypt. Вредонос шифрует данные на компьютере и требует выкуп за восстановление доступа к информации.
В пятницу, 19 февраля, Sucuri также сообщила об инфицировании сайтов под управлением Joomla. По сравнению с ресурсами на WordPress сайты на Joomla заражаются реже из-за невысокой популярности CMS.
Вирус перенаправляет пользователей на сайт Admedia, работающий в качестве гейтвея между набором эксплоитов и скомпрометированным ресурсом. В дальнейшем компьютер пользователя инфицируется вымогательским ПО TeslaCrypt.
5778 К? Пф! У нас градус знаний зашкаливает!