Der bislang vor allem via E-Mail verbreitete Erpressungs-Trojaner TeslaCrypt wird nun auch vermehrt über Browser verteilt. Auf augenscheinlich harmlosen Webseiten lauert die Gefahr, über Sicherheitslücken in Windows beziehungsweise der installierten Software gelangt die Malware auf  das System und wird aktiv.

In Folge dessen erscheint dann die Nachricht, dass die Dateien auf dem befallenen Rechner verschlüsselt sind und nur gegen Zahlung von Bitcoins wieder zu zugänglich werden.

In den Fokus der Ermittler gerieten nun auch Joomla-Serve die TeslaCrypt verteilten. Dies geschah jedoch obwohl die Joomla-Installationen auf dem aktuellen Stand waren und keine Sicherheitslücken aufwiesen.

Grund hierfür ist, dass ein Zero Day Exploit ausgenutzt werden konnte noch bevor es einen Patch von Joomla gab. In diesem Zeitfenster wurden somit viele Server kompromittiert.

Der Schad-Code wurde in den Dateien

/administrator/includes/defines.php
/includes/defines.php

entdeckt und enthielt  auch Funktionsaufrufe wie decrypt_url.

Admins von Joomla-Servern wird daher geraten, ihre Systeme auf solche Infektionen hin zu überprüfen. Vermutlich sind auch andere CMS Systeme wie WordPress oder Drupal betroffen.