Backdoor CryptoPHP u pluginovima za WordPress, Joomla i Drupal

Opisi virusa, 23.11.2014, 21:13 PM

Istraživači su otkrili kriminalnu grupu koja na naizgled legitimnim sajtovima objavljuje različite kompromitovane WordPress teme i dodatke kako bi se ubedile potencijalne žrtve da ih preuzmu i instaliraju na svojim sajtovima. Teme i dodaci koje nudi grupa omogućavaju napadačima daljinsku kontrolu nad kompromitovanim sajtovima, a istraživači kažu da je moguće da je ovaj napad započeo još u septembru prošle godine.

Slučaj je otkriven kada su istraživači iz firme Fox-IT u Holandiji otkrili kompromitovani Joomla plugin na sajtu jednog klijenta. Istraga je pokazala da je plugin preuzet sa sajta na kome se nudi niz piratskih tema i dodataka.

“Plugin nije došao od originalnog izdavača (Joomla Service Provider) već od third party web sajta koji tvrdi da je mesto za “nullovane” skripte. Koncept nullovanih skripta je sličan pirastkom softveru; oslobođen od bilo kakvih provera licenci, ukratko, to je piraterija”, kažu istraživači.

“Dok smo istraživali web sajt nulledstylez.com otkrili smo da svaki piratski plugin, tema i ekstenzija sadrži isti backdoor”, rekli su istraživači koji su otkrili neke ZIP fajlove sa komentarom sličnom onom iz prvog incidenta ali koji su upućivali na drugi domen. U pitanju je web sajt dailynulled.com koji je sličan sajtu nulledstyles.com jer se kao i na ovom drugom i na njemu nalaze piratske teme i pluginovi za WordPress, Joomla i Drupal. Svi ovi sajtovi objavljuju sličan sadržaj, tako da su ovi pluginovi dostupni na više web sajtova kojima upravljaju isti akteri. “Sav sadržaj na ovim web sajtovima je backdoorovan sa CryptoPHP”, kažu istraživači.

CryptoPHP je ime koje su istraživači dali malveru koji se isporučuje žrtvama sa kompromitovanim pluginovima. Ovaj backdoor ima brojne mogućnosti. On nosi nekoliko hardkodovanih domena za komunikaciju sa svojim serverima za komandu i kontrolu (C&C serveri) i koristi RSA enkripciju da bi zaštitio svoju komunikaciju sa njima. Neke verzije malvera mogu da komuniciraju preko emaila ako je C&C domen ugašen. CryptoPHP se može ažurirati, ubacivati sadržaj u kompromitovane sajtove, ali je glavna svrha malvera da sprovodi blackhat SEO kampanje. Cilj ovih kampanja je da se podigne rang sajtova koje kontrolišu napadači ili sajtova njihovih klijenata, što im pomaže da izgledaju legitimno. To se ponekad radi sa kockarskim ili sličnim sajtovima, a može biti povezano i sa drugim prevarama.

Istraživači iz firme Fox-IT su pratili napad do IP adrese u Moldaviji, a C&C serveri su locirani u Holandiji, Nemačkoj, Poljskoj i SAD. Oni su identifikovali hiljade pluginova koji su backdoorovani, uključujući WordPress i Joomla pluginove i Drupal teme. Do 12. novembra je otkriveno 16 verzija malvera CryptoPHP. Prva verzija 0.1 se pojavila 25. septembra 2013., a trenutna verzija malvera nosi oznaku 1.0a i objavljena je 12. novembra.

“Ne možemo utvrditi tačan broj pogođenih web sajtova ali procenjujemo da je bar nekoliko hiljada web sajtova kompromitovano CryptoPHP malverom”, kažu istraživači.

Predrag Damnjanović, vlasnik firme MyCity, kaže da je imao susret sa ovim malverom ovog vikenda, kada je sate proveo pokušavajući da otkrije zašto sajtovi nekih klijenata njegove firme rade sporo i zbog čega emailovi koje pošalju završavaju u spam folderima. Kada je pronašao potpis CryptoPHP malvera, shvatio je da je to razlog zbog čega se server našao na spam black listi. “Sajt proradi kada se inficirani template isključi”, kaže Damnjanović. Ako sumnjate da vam je sajt zaražen ovim malverom, možete iskoristiti skener koji je Damnjanović napravio i postavio na Pastebinu.