Un mécanisme de porte dérobée pour la distribution de milliers de thèmes de pirates et les plug-ins pour Joomla, WordPress, et Drupal CMS a récemment été repéré dans la nature. Les développeurs ont trouvé que les opérateurs de pirates CryptoPHP ont utilisé pour percer dans C&C (contrôle et commande) serveurs et infecter plus 23,000 d'adresses IP à la menace.
Portée Backdoor
Informations sur la portée de la menace sont recueillies par la société de sécurité informatique FOX en coopération avec le blog suisse de sécurité Abuse.ch, Shadowserver / https://www.shadowserver.org/wiki/, et l'organisation Spamhaus. Après avoir analysé les serveurs les plus actifs, chercheurs ont remarqué que les adresses IP qui sont en contact avec eux diminuent, le nombre atteignant 16,786 sur Novembre, 24e.
On devrait avoir à l'esprit que l'information peut ne pas être tout à fait correct si. Les serveurs Web touchées peuvent accueillir divers sites Web, ainsi que les logiciels malveillants, et peut infecter plusieurs pages Internet d'un site Web qui pourrait effectivement faire leur nombre plus grand.
L'analyse montre que la plupart des adresses sont infectées aux Etats-Unis, Les nouveautés 8,657 IP infectées jusqu'à présent. La place à côté, des infections quoique beaucoup moindre, est Allemagne avec 2877 IPs.
Backdoor variantes et techniques
Sur 16 différentes versions de CryptoPHP, propagation thèmes de pirates et les plug-ins pour les systèmes de gestion de contenu ont été repérés par Fox IT jusqu'à présent. La première remonte à Septembre, 2013 et le dernier est CryptoPHP 1.0, trouvé le 12 Novembre de cette année. Une chose très intéressante qui se est passé dimanche dernier (23e Novembre) - La plupart des sites de malice répartition disparu, seulement à apparaître retour lundi (24e Novembre), contenant la nouvelle version du malware. Ils sont toujours actifs aujourd'hui.
Dans un rapport sur le sujet Etat Fox informatique qui utilise une technique CryptoPHP, ressemblant à une utilisation moteurs de recherche d'indexer le contenu. Le malware détecte si le visiteur de la page est un robot web et injecte un lien ou un texte dans les pages touchées, en utilisant le logiciel malveillant Blackhat SEO.
Le Blackhat SEO (Optimisation pour les moteurs de recherche) est une technique qui est généralement utilisé pour augmenter un rang site, contournant les règles légitimes des moteurs de recherche. Être en violation des meilleures pratiques des moteurs de recherche peut conduire à l'interdiction du site, utilisant Blackhat SEO.
Qu'est-ce?
Les chercheurs pensent que la personne, debout derrière cette attaque est basée à Chisinau, La capitale de la Moldavie. Ce est sur le fait qu'un nom d'utilisateur ” chishijen12″ a été trouvé, son adresse IP étant basée en République de Moldova et être actif depuis Décembre, 2013. L'utilisateur peut se cacher derrière un proxy ou VPN, bien sûr.
Il est également connu que le malware utilise une clé de sécurité publique RSA pour chiffrer la communication entre la victime et le contrôle & serveur de commande. Si le serveur est descendu, la communication se poursuit par email. Si ce est à l'arrêt ainsi, Backdoor peut être commandé manuellement sans avoir besoin C&Serveur C.
Fox IT ont créé deux scripts Python pour les utilisateurs de déterminer se ils ont Backdoor. Deux d'entre eux sont téléchargés sur la plate-forme de partage de fichiers GitHub. L'un d'eux est de déterminer si vous avez la menace, l'autre pour numériser tous vos fichiers. Ils comprennent la suppression des comptes administratifs supplémentaires et la suppression des certificats obsolètes.
Bien que ces méthodes doivent être suffisamment, les chercheurs recommandent d'utiliser une copie propre CMS, juste pour se assurer que vous ne avez pas un Backdoor.