SITIOS WEB COMPROMETIDOS EN LA ÚLTIMA CAMPAÑA DEL MALWARE SOAKSOAK

Los expertos en seguridad de la firma Invincea han descubierto que un gran número de sitios web fueron reclutados por el botnet SoakSoak para entregar CryptXXX malware.

La lista de sitios comprometidos es larga e incluye el sitio web de turismo de Guatemala y el do-it-yourself sitio del proyecto de Dunlop adhesivos.

Los sitios web fueron utilizados por los operadores detrás de la botnet SoakSoak para redirigir a los visitantes a un sitio web malicioso utilizado para entregar el ransomware CryptXXX. Una vez que los archivos de las víctimas están codificadas por el ransomware, que exige un rescate de $ 500 a volver a ellos.

Los piratas informáticos en peligro los sitios web mediante la explotación de vulnerabilidades en los plugins de WordPress o sistemas de gestión de contenidos no actualizados.

En diciembre de 2015, Google en la lista negra por encima de 11000 dominios que fueron infectados con este malware SoakSoak que fue redirigiendo el tráfico de usuarios y descargar cargas maliciosas en los objetivos.

11.000 dominios fueron utilizados para servir malware que se ha interpuesto por SoakSoak.ru , por esta razón, la campaña maliciosa se ​​ha denominado la epidemia SoakSoak malware.

Los expertos en seguridad de la firma Sucuri proporcionan un análisis detallado de la SoakSoak malware en su blog, explicando que las infecciones dirigidos diferentes plataformas a pesar del mayor número de infecciones afectadas sitios web basado en WordPress.

"Nuestro análisis muestra el impacto en el orden de 100 de los miles de sitios web específicos de WordPress. No podemos confirmar el vector exacta, pero el análisis preliminar se muestra correlación con la vulnerabilidad Revslider informamos hace unos meses . ", Señala el mensaje. "El impacto parece estar afectando a la mayoría de los ejércitos de todo el espectro de WordPress de alojamiento. Descomposición rápida del proceso de decodificación está disponible a través de nuestro PHP decodificador . " segun Sucuri

En este reciente campaña SoakSoak malware que se ha iniciado en mayo, los ladrones utilizan un código malicioso para redirigir a los visitantes a un sitio web que alojan el Neutrino Exploit Kit . Los atacantes han actualizado tanto el kit y explotar el malware durante la campaña, la última versión del Neutrino EK utilizado por los piratas informáticos es capaz de evitar la ejecución en q entorno virtualizado.

"Una vez que una víctima se redirige a la Neutrino Exploit Kit, el punto final se analiza para comprobar si está usando cualquier software de seguridad tales como VMWare, Wireshark, ESET, violinista, o una utilidad de depuración de Flash jugador", afirma la entrada de blog publicada por Invincea . "Si esos programas no están presentes en el host víctima se abre el shell de comandos y la utilidad de las ventanas Wscript se accede para descargar la carga útil ransomware desde un servidor de comando y control".


Tags: >botnet, SoakSoak, malware, ransomware CryptXXX, firma Sucuri

Fecha actualización el 2017-4-23. Fecha publicación el 2016-7-21. Categoría: Malware. Seguridad. Autor: Oscar olg Versión Movil
botnet soaksoak malware