Брэд Дункан, эксперт компании Rackspace, выяснил, что киберкампания по распространению вымогательской программы TeslaCrypt усовершенствовалась. Вредоносная программа раньше могла компрометировать и в дальнейшем использовать для заражения компьютеров вымогательским программным обеспечением только сайты, находящиеся под управлением WordPress. Теперь в зоне риска оказались и ресурсы на базе CMS Joomla.
В начале февраля сотрудники Sucuri зафиксировали масштабную кампанию, направленную против WordPress-сайтов. Хакеры инфицируют все JavaScript-файлы на хостинге путем внедрения в них зашифрованного вредоносного кода. Злоумышленники используют технику под названием cross-site contamination: инфицируются несколько сайтов, размещенных на хостинге под одной учетной записью. Для ликвидации последствий вредоносной активности необходима изоляция каждого веб-ресурса и их последовательная очистка.
Киберпреступники пользуются зараженными сайтами для отображения вредоносной рекламы. Используя набор эксплоитов Nuclear, поддельные баннеры заражают компьютеры вымогательской программой TeslaCrypt.
Теперь Брэд Дункан сообщает, что злоумышленники расширили свою активность на интернет-порталы на базе Joomla, в которые файлы JavaScript внедряют вредоносный iframe. В рамках киберкампании против сайтов на Joomla применяется набор эксплоитов Angler.
Администраторы сайтов под управление Joomla должны искать вредоносный код, используя ключ admedia. В случае с WordPress-сайтами применяется триггер megaadvertize.