Un mecanismo de puerta trasera para la distribución de miles de temas de piratas y los plug-ins para Joomla, WordPress, y Drupal CMS ha sido visto recientemente en la naturaleza. Los desarrolladores han encontrado que los operadores de hackers CryptoPHP lo han utilizado para entrar en C&C (control y mando) servidores y infectar a más de 23,000 de direcciones IP con la amenaza.
Alcance Backdoor
La información sobre el alcance de la amenaza está siendo recogida por la empresa de seguridad FOX TI en cooperación con el blog de seguridad suiza Abuse.ch, Shadowserver / https://www.shadowserver.org/wiki/, y la organización Spamhaus. Después de analizar los servidores más activos, los investigadores notaron que las direcciones IP que están en contacto con ellos disminuyen, el número de llegar 16,786 de noviembre, 24º.
Uno debe tener en cuenta que la información puede no ser del todo correcto aunque. Los servidores web afectados pueden albergar varios sitios web, así como el malware, y puede infectar a varias páginas de Internet de un sitio web que realmente, podrían tener su número más grande.
El análisis muestra que la mayoría de las direcciones infectadas están en Estados Unidos, conocer 8,657 IPs infectadas hasta ahora. El siguiente lugar, con mucho menores infecciones aunque, es Alemania, con 2877 IPs.
Backdoor variantes y Técnicas
Acerca de 16 varias versiones de CryptoPHP, difundir temas de piratas y plug-ins para los sistemas de gestión de contenidos han sido vistos por Fox IT hasta el momento. La primera de ellas se remonta a septiembre, 2013 y la más reciente es CryptoPHP 1.0, encontrado el 12 de noviembre de este año. Una cosa muy interesante sucedió el domingo pasado (23rd noviembre) - Muchos de los sitios malicia-difusión desaparecieron, sólo para aparecer de nuevo el lunes (24de noviembre de), que contiene la nueva versión del malware. Ellos todavía están activos hoy.
En un informe sobre el tema del estado Fox TI que CryptoPHP utiliza una técnica, se asemeja a la de un motor de búsqueda uso para indexar el contenido. El malware detecta si el visitante de la página es un rastreador web e inyecta un enlace o un texto en las páginas afectadas, usando el malware Blackhat SEO.
El Blackhat SEO (Search Engine Optimization) es una técnica que se utiliza generalmente para aumentar un rango de página web, sin pasar por los legítimos reglas motores de búsqueda. El estar en violación de las mejores prácticas de los motores de búsqueda puede dar lugar a la prohibición de la página web, utilizando el Blackhat SEO.
Quién es?
Los investigadores creen que la persona, de pie detrás de este ataque se basa en Chisinau, Capital de Moldavia. Esta se encuentra en el hecho de que un nombre de usuario ” chishijen12″ se ha encontrado, su IP se basa en Moldavia y ser activo desde diciembre, 2013. El usuario puede estar escondido detrás de un proxy o VPN, por supuesto.
También se sabe que el malware utiliza una clave pública de seguridad RSA para cifrar la comunicación entre la víctima y el control & servidor de comando. Si el servidor es bajado, la comunicación continúa por correo electrónico. Si eso se apaga, así, Backdoor se puede controlar manualmente sin necesidad de C&Servidor C.
Fox TI han creado dos scripts de Python para los usuarios a determinar si tienen Backdoor. Ambos están subidos en la plataforma de intercambio de archivos GitHub. Uno de ellos es para determinar si usted tiene la amenaza, la otra para escanear todos los archivos. Ellos incluyen la eliminación de las cuentas administrativas adicionales y la eliminación de los certificados caducados.
Aunque estos métodos deben ser lo suficientemente, investigadores recomiendan el uso de una copia limpia CMS, sólo para asegurarse de que usted no tiene un Backdoor.
