La pagina blog di uno dei più importanti siti della Gran Bretagna, The Indipendent, è stata compromessa e questo potrebbe mettere a rischio di infezione da ransomware milioni di lettori.
La presenza del virus è stata rilevata da Trend Micro che ha già provveduto ad informare The Indipendent riguardo questa minaccia alla sicurezza. Tuttavia il sito risulta ancora compromesso e gli utenti sono ancora a rischio.
Soltanto la parte del blog all’interno del sito, che si affida a WordPress, risulta infetta, la restante parte online del sito sembrerebbe sicura. WordPress è una famosa piattaforma per blog che è stata più volte sotto attacchi e minacce da parte di cybercriminali che hanno cercato di infettarne gli utenti.
Come spiega Joseph C Chen, Fraud Researcher di Trend Micro: “Sono incappato casualmente nel virus mentre monitoravo l’attività di Angler Exploit Kit. Basandomi sulle ricerche che ho condotto dallo scorso 21 novembre, la pagina blog compromessa reindirizzava gli utenti a pagine che ospitavano il suddetto exploit kit. Se l’utente non era in possesso del l’ultima versione di Adobe Flash Player, il sistema sarebbe risultato vulnerabile e avrebbe scaricato il ransomware Cryptesla 2.2.0 (rilevato da Trend Micro come RANSOM_CRYPTESLA.YYSIX). Il malware quindi cambia la sua estensione dei files criptati in “.vvv”.
La vulnerabilità presente in questo esempio è stata scoperta essere CVE-2015-7645. Questa, inoltre, è l’ultima falla che abbiamo rilevato essere stata aggiunta al repertorio di Angler”.
Il kit Angler Exploit è il più aggiornato exploit kit che integra in Abobe Flash zero-day falle legate alle alla fuga di informazioni di Hacking Team. Nel 3Q report sulla raccolta di minacce di Trend Micro, è stato osservato un incremento da maggio a settembre 2015, nel numero di link che ospitavano Angler. Sono stati inoltre tracciati il numero di attacchi al TDS tra i siti compromessi che portavano a Angler EK (non solo il blog di The Indipendent) e sono stati notati più di 4000 attacchi al giorno. Il dato reale potrebbe essere anche più grande. “Noi di Trend Micro abbiamo provveduto a proteggere i sistemi degli utenti bloccando i websites infetti più noti e rilevando l’ultimo payload” conclude Joseph C Chen.
