勒索軟體從 WordPress 蔓延至 Joomla

某個在 WordPress 上出現的惡意廣告行動，目前正試圖擴大版圖。據報導指出，歹徒正嘗試跨足不同平台，攻擊以 Joomla 架設的網站。根據資安研究人員 Brad Duncan 在網際網路風暴中心 (Internet Storm Center，簡稱 ISC) 網站上指出，在 WordPress上發動「admedia」攻擊行動的駭客團體目前正鎖定了一個新的目標，研究人員發現他們開始攻擊 Joomla 開放原始碼內容管理平台 (CMS)。

2016 年 1 月，受感染的 WordPress 網頁被植入了 admedia iframe，不僅可能在電腦上安裝後門程式，更可能將網頁瀏覽者導向含有漏洞攻擊套件的惡意網域，進而感染 TeslaCrypt勒索軟體 Ransomware 。根據 Duncan 指出，此攻擊行動第一次被發現時是在目標網站上植入 Nuclear 漏洞攻擊套件，但現在已改成植入Angler 漏洞攻擊套件。除此之外，歹徒的閘道網址也開始改用「megaadvertize」這個網域。

不過，其基本技巧還是不變：遭到感染的網站將被駭客入侵，並且在其 .js 檔案當中嵌入駭客的腳本 (script)。由於網頁在執行 JavaScript 程式碼時需要用到這些檔案，因此會將使用者導向 admedia 閘道。換句話說，網頁產生的 iframe 會打開一道從受感染的網站通向漏洞攻擊套件的路徑，進而讓電腦被植入 TeslaCrypt 勒索軟體 Ransomware 。勒索軟體目前仍是歹徒向不知情的受害者勒索錢財非常有效的一種惡意程式，而其發展速度亦無減緩的跡象。

儘管研究人員表示 Joomla 網站的感染數量仍不能和 WordPress 相比，但網站管理員仍不可掉以輕心。駭客入侵正常網站然後將它當成攻擊管道的情況似乎越來越流行，基於使用者對網站的信賴，這可以讓駭客感染到許多不知情的使用者。我們建議網站管理員務必定期修補其內容管理系統，並且隨時注意可能危及其使用者的最新威脅。

文章來源:http://blog.trendmicro.com.tw/?p=16792

圖片來源:https://pixabay.com/