Es bastante habitual que los ciberdelincuentes utilicen sitios web hackeados para distribuir amenazas en Internet de forma mucho más sencilla. Lo que sí es una novedad es que se estén ayudando de forma simultánea de los sitios web de WordPress y Joomla que se han visto comprometidos para distribuir el ransomware TeslaCrypt.
Con respecto al malware creemos que no es necesaria una carta de presentación y que el funcionamiento de este es más que conocido por la mayoría de los usuarios así como el de todas su variantes. La finalidad por lo tanto no puede ser otra que distribuir la estafa entre los usuarios para así llegar a los equipos cifrar los archivos y pedir una recompensa para recuperar el acceso, algo que como ya es sabido no se debe hacer bajo ningún concepto, ya que muchos se han encontrado que a pesar de realizar el pago el acceso no se ha recuperado o la clave ofrecida no sirve.
Ha sido un experto en seguridad de la compañía Rackspace el que ha sido el encargado de hablar de esta oleada de infecciones en páginas web, afirman que en un primer momento solo se utilizaban páginas cuyo CMS era WordPress pero se ha ampliado en las últimas semanas a las que hacen uso de Joomla. El problema de todo esto es que los expertos en seguridad no han concretado aún sobre cuál es el método utilizado por los ciberdelincuentes para añadir el código que permite que los usuarios descarguen el contenido malware.
Se está distribuyendo el exploit Nuclear que a su vez permite la descarga del ransomware del que hemos hablado con anterioridad, inyectando el código de los iFrame en los archivos JavaScript del sitio web.
Varias formas de distribuir TeslaCrypt u otros malware
Además de hacer uso del exploit que ya hemos mencionado con anterioridad, expertos en seguridad han detectado que los ciberdelincuentes también han hecho uso de Angler, de características muy similares al anterior. Pero también han detectado que en otras circunstancias han distribuido otros ransomware, como por ejemplo CryptoWall. Pero esto es solo un pequeño problema comparado a lo que ya hemos dicho con anterioridad, ya que los expertos no consiguen dar con el método de insercción de código.
En algunos foros de seguridad se habla de sitios web cuya seguridad se ha visto comprometida gracias al robo de las credenciales de acceso al gestor y de ahí que estos hayan aprovechado para insertar el código en los archivos, aunque hay quien afirma que podrían utilizar vulnerabilidades presentes en versiones anteriores de los dos gestores.