Više od 23000 web sajtova zaraženo backdoorom CryptoPHP

Vesti, 30.11.2014, 22:56 PM

Više od 23000 web sajtova zaraženo backdoorom CryptoPHP

Više od 23000 web servera je inficirano backdoorom nazvanim CryptoPHP koji se širi preko piratskih tema i pluginova za WordPress, Joomla i Drupal.

CryptoPHP je maliciozna skripta koja obezbeđuje napadačima da sa daljine izvršavaju kod na web serverima i ubacuju maliciozni sadržaj u web sajtove koji su hostovani na njima.

Backdoor koji su otkrili istraživači holandske firme Fox-IT se prvenstveno koristi za black hat SEO (search engine optimization), koji podrazumeva ubacivanje ključnih reči i stranica na kompromitovane sajtove sa ciljem preotimanja njihove pozicije u pretrazi i “guranja” malicioznog sadržaja na više pozicije u rezultatima pretrage.

Za razliku od većine backdoorova na web sajtovima, CryptoPHP ne koristi ranjivosti u sajtovima. Oni koji ga distribuiraju koriste piratske verzije komercijalnih pluginova i tema za WordPress, Joomla i Drupal koji se nude na nekoliko sajtova. Ono što napadači čekaju su vlasnici sajtova koji će preuzeti ove maliciozne pluginove i teme sa CryptoPHP backdoorom koji je ubačen u njih.

Web serveri inficirani malverom CryptoPHP deluju kao bot mreža. Oni se povezuju sa serverima za komandu i kontrolu (C&C) napadača koristeći šifrovani komunikacijski kanal i čekaju komande.

Fox-IT je uz pomoć Nacionalnog centra za sajber bezbednost holandske vlade i nekoliko organizacija za borbu protiv sajber kirminala preuzeo kontrolu nad domenima za komandu i kontrolu CryptoPHP i preusmerio ih na servere koji su pod kontrolom istraživača da bi se prikupljali podaci (postupak je poznat pod nazivom sinkholing). Ukupno 23693 jedinstvenih IP adresa povezalo se sa ovim C&C domenima. Međutim, broj zaraženih web sajtova je verovatno i veći jer neke od ovih IP adresa odgovaraju deljenim web hosting serverima koji imaju više od jednog inficiranog sajta.

Najveći broj infekcija je u SAD (8657 IP adresa), Nemačkoj (2877 IP adresa), Francuskoj (1231 IP adresa), Holandiji (1008 IP adresa) i Turskoj (749 IP adresa).

Posle objavljivanja otkrića holandskih istraživača, web sajtove na kojima su se nudili piratski pluginovi i teme su na kratko bili offline, ali su sada ponovo aktivni. Osim toga, napadači su objavili novu verziju backdoora, verovatno da bi izbegli otkrivanje.

Više detalja o backdoor CryptoPHP možete naći na našem sajtu, u tekstu koji smo objavili početkom prošle nedelje. Ako sumnjate da vam je sajt zaražen možete iskoristiti skener koji je napravio Predrag Damnjanović, vlasnik firme MyCity, koji ga je postavio na Pastebinu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje