Um mecanismo de backdoor para distribuição de milhares de temas piratas e plug-ins para Joomla, WordPress, e Drupal CMSs foi recentemente detectado na natureza. Os desenvolvedores descobriram que os operadores de hackers CryptoPHP o usaram para invadir C&C (controle e comando) servidores e infectar mais de 23,000 de endereços IP com a ameaça.
Escopo da porta dos fundos
Informações sobre o escopo da ameaça estão sendo coletadas pela empresa de segurança FOX IT em cooperação com o blog de segurança suíço Abuse.ch, Shadowserver /https://www.shadowserver.org/wiki/, e organização Spamhaus. Após analisar os servidores mais ativos, pesquisadores notaram que os endereços IP que estão entrando em contato com eles diminuem, o número que chega 16,786 em novembro, 24º.
Deve-se ter em mente que as informações podem não estar muito corretas embora. Os servidores web afetados podem hospedar vários sites, bem como malware, e pode infectar várias páginas da Internet de um site que realmente pode aumentar seu número.
A análise mostra que a maioria dos endereços infectados estão nos Estados Unidos, sabendo sobre 8,657 IPs infectados até agora. O próximo lugar, com infecções muito menores embora, é a Alemanha com 2877 IPs.
Variantes e técnicas de backdoor
Sobre 16 várias versões do CryptoPHP, a disseminação de temas piratas e plug-ins para sistemas de gerenciamento de conteúdo foram detectados pela Fox IT até agora. A primeira data de setembro, 2013 e o mais recente é o CryptoPHP 1.0, encontrado em 12 de novembro deste ano. Uma coisa muito interessante aconteceu no último domingo (23º de novembro) – muitos dos sites que espalham malícia desapareceram, só para aparecer de volta na segunda-feira (24th novembro), contendo a nova versão do malware. Eles ainda estão ativos hoje.
Em reportagem sobre o assunto a Fox IT afirma que o CryptoPHP utiliza uma técnica, semelhante ao que os mecanismos de pesquisa usam para indexar conteúdo. O malware detecta se o visitante da página é um rastreador da web e injeta um link ou texto nas páginas afetadas, usando o malware Blackhat SEO.
O SEO Black Hat (Motor de Otimização de Busca) é uma técnica que geralmente está sendo usada para aumentar a classificação de um site, ignorando as regras legítimas dos mecanismos de pesquisa. Estar em violação das melhores práticas do mecanismo de pesquisa pode levar ao banimento do site, usando o Blackhat SEO.
Quem é esse?
Os pesquisadores pensam que a pessoa, que está por trás deste ataque está sediado em Chisinau, capital da Moldávia. Isso se baseia no fato de que um nome de usuário ” chishijen12″ foi encontrado, seu IP está sediado na Moldávia e está ativo desde dezembro, 2013. O usuário pode estar se escondendo atrás de VPN ou proxy, claro.
Sabe-se também que o malware usa uma chave de segurança pública RSA para criptografar a comunicação entre a vítima e o controle & servidor de comando. Se o servidor for derrubado, a comunicação continua por e-mail. Se isso for desligado também, Backdoor pode ser controlado manualmente sem precisar de C&servidor C.
A Fox IT criou dois scripts Python para os usuários determinarem se eles têm Backdoor. Ambos são carregados na plataforma de compartilhamento de arquivos GitHub. Um deles é para determinar se você tem a ameaça, o outro para verificar todos os seus arquivos. Eles incluem a remoção de contas administrativas adicionais e a remoção de certificados obsoletos.
Embora esses métodos devam ser suficientes, pesquisadores recomendam usar uma cópia limpa do CMS, apenas para ter certeza de que você não tem um backdoor.
