Pratite nas preko RSS-aViše od 23000 web sajtova zaraženo backdoorom CryptoPHP
Vesti, 30.11.2014, 22:56 PM
Više od 23000 web servera je inficirano backdoorom nazvanim CryptoPHP koji se širi preko piratskih tema i pluginova za WordPress, Joomla i Drupal.
CryptoPHP je maliciozna skripta koja obezbeđuje napadačima da sa daljine izvršavaju kod na web serverima i ubacuju maliciozni sadržaj u web sajtove koji su hostovani na njima.
Backdoor koji su otkrili istraživači holandske firme Fox-IT se prvenstveno koristi za black hat SEO (search engine optimization), koji podrazumeva ubacivanje ključnih reči i stranica na kompromitovane sajtove sa ciljem preotimanja njihove pozicije u pretrazi i “guranja” malicioznog sadržaja na više pozicije u rezultatima pretrage.
Za razliku od većine backdoorova na web sajtovima, CryptoPHP ne koristi ranjivosti u sajtovima. Oni koji ga distribuiraju koriste piratske verzije komercijalnih pluginova i tema za WordPress, Joomla i Drupal koji se nude na nekoliko sajtova. Ono što napadači čekaju su vlasnici sajtova koji će preuzeti ove maliciozne pluginove i teme sa CryptoPHP backdoorom koji je ubačen u njih.
Web serveri inficirani malverom CryptoPHP deluju kao bot mreža. Oni se povezuju sa serverima za komandu i kontrolu (C&C) napadača koristeći šifrovani komunikacijski kanal i čekaju komande.
Fox-IT je uz pomoć Nacionalnog centra za sajber bezbednost holandske vlade i nekoliko organizacija za borbu protiv sajber kirminala preuzeo kontrolu nad domenima za komandu i kontrolu CryptoPHP i preusmerio ih na servere koji su pod kontrolom istraživača da bi se prikupljali podaci (postupak je poznat pod nazivom sinkholing). Ukupno 23693 jedinstvenih IP adresa povezalo se sa ovim C&C domenima. Međutim, broj zaraženih web sajtova je verovatno i veći jer neke od ovih IP adresa odgovaraju deljenim web hosting serverima koji imaju više od jednog inficiranog sajta.
Najveći broj infekcija je u SAD (8657 IP adresa), Nemačkoj (2877 IP adresa), Francuskoj (1231 IP adresa), Holandiji (1008 IP adresa) i Turskoj (749 IP adresa).
Posle objavljivanja otkrića holandskih istraživača, web sajtove na kojima su se nudili piratski pluginovi i teme su na kratko bili offline, ali su sada ponovo aktivni. Osim toga, napadači su objavili novu verziju backdoora, verovatno da bi izbegli otkrivanje.
Više detalja o backdoor CryptoPHP možete naći na našem sajtu, u tekstu koji smo objavili početkom prošle nedelje. Ako sumnjate da vam je sajt zaražen možete iskoristiti skener koji je napravio Predrag Damnjanović, vlasnik firme MyCity, koji ga je postavio na Pastebinu.
Izdvojeno
Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima
Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje
40 lažnih ekstenzija za Firefox krade kriptovalute korisnika
Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje
Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt
Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje
Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču
Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje
Kada sajber kriminal ubija: Bolnice na udaru ransomware-a
.jpg)
Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje
Pratite nas
Nagrade
Prijatelji
