Infizierte Joomla-Server verteilen Erpressungs-Trojaner TeslaCrypt

Auch wer seine Mails sorgfältig filtert, läuft Gefahr, sich den Erpressungs-Trojaner TeslaCrypt einzufangen. Auf scheinbar harmlosen Web-Seiten lauern Exploits, die deren Besucher infizieren.

In Pocket speichern vorlesen Druckansicht 150 Kommentare lesen
Infizierte Joomla-Server verteilen Erpressungs-Trojaner TeslaCrypt
Lesezeit: 2 Min.

Bislang sah es so aus, als würde TeslaCrypt vor allem via E-Mail verteilt. Versehentlich geöffnete Word-Dateien mit bösartigen Makros waren ein übliches Infektionsszenario. So konzentrierten sich viele zu ihrem Schutz auf den Mail-Eingang. Das könnte fatale Folgen haben; denn mittlerweile kann man sich den Erpressungs-Trojaner auch beim Surfen einfangen.

Der Schädling lauert dabei auf scheinbar harmlosen Seiten und nutzt Sicherheitslücken in Windows beziehungsweise der installierten Software aus, um aktiv zu werden. Kurze Zeit später erscheint dann die Nachricht, dass die Dateien verschlüsselt wurden und nur gegen Zahlung von Bitcoins wieder zu entschlüsseln sind. Die Opfer können auf Dokumente, PDFs, Bilder und anderen Daten nicht mehr zugreifen, denn TeslaCrypt hat daraus verschlüsselte Dateien etwa mit der Endung .mp3 gemacht.

Experten einer Spezialeinheit Cybercrime des LKA Niedersachsen sind bei ihren Ermittlungen in mehreren, voneinander unabhängigen Fällen auf infizierte Joomla-Server gestoßen, die TeslaCrypt verteilten. Das seltsame daran: Es stellte sich heraus, dass die Joomla-Installationen auf dem aktuellen Stand waren und keine offenkundigen Sicherheitslücken aufwiesen, über die die Kriminellen eindringen konnten.

Des Rätsels Lösung: Der letzte große Joomla-Sicherheits-Patch vom 14. Dezember vorigen Jahres stopfte ein Loch, das bereits seit einigen Tagen ausgenutzt wurde, bevor man sich schützen konnte. Noch dazu musste das Joomla-Team ein weiteres Update nachlegen. In dem 0day-Fenster wurden viele Systeme kompromittiert. Eine dabei eingebaute Hintertür wurde durch das Einspielen des Udpates nicht geschlossen; über sie können die Einbrecher dann später noch Schad-Code in das scheinbar sichere System einschleusen. Aller Wahrscheinlichkeit nach handelt es sich bei dem Joomla-Servern mit TeslaCrypt um solche Fälle.

In den bekannten Fällen lag der Schad-Code in den Dateien

/administrator/includes/defines.php
/includes/defines.php

und enthielt neben offensichtlich verschwurbeltem PHP-Code auch Funktionsaufrufe wie decrypt_url. Admins von Joomla-Servern tun gut daran, ihre Systeme auf Anzeichen solcher Infektionen zu überprüfen. Darüber hinaus ist natürlich davon auszugehen, dass das Problem keineswegs auf Joomla begrenzt ist; vielmehr attackieren die Angreifer auch Wordpress, Drupal und andere CMS. Generell muss man damit rechnen, dass die Kriminellen jeden gangbaren Weg nutzen, ihren für sie so lukrativen Unrat zu verteilen. (ju)