Backdoor CryptoPHP u pluginovima za WordPress, Joomla i Drupal

Opisi virusa, 23.11.2014, 21:13 PM

Backdoor CryptoPHP u pluginovima za WordPress, Joomla i Drupal

Istraživači su otkrili kriminalnu grupu koja na naizgled legitimnim sajtovima objavljuje različite kompromitovane WordPress teme i dodatke kako bi se ubedile potencijalne žrtve da ih preuzmu i instaliraju na svojim sajtovima. Teme i dodaci koje nudi grupa omogućavaju napadačima daljinsku kontrolu nad kompromitovanim sajtovima, a istraživači kažu da je moguće da je ovaj napad započeo još u septembru prošle godine.

Slučaj je otkriven kada su istraživači iz firme Fox-IT u Holandiji otkrili kompromitovani Joomla plugin na sajtu jednog klijenta. Istraga je pokazala da je plugin preuzet sa sajta na kome se nudi niz piratskih tema i dodataka.

“Plugin nije došao od originalnog izdavača (Joomla Service Provider) već od third party web sajta koji tvrdi da je mesto za “nullovane” skripte. Koncept nullovanih skripta je sličan pirastkom softveru; oslobođen od bilo kakvih provera licenci, ukratko, to je piraterija”, kažu istraživači.

“Dok smo istraživali web sajt nulledstylez.com otkrili smo da svaki piratski plugin, tema i ekstenzija sadrži isti backdoor”, rekli su istraživači koji su otkrili neke ZIP fajlove sa komentarom sličnom onom iz prvog incidenta ali koji su upućivali na drugi domen. U pitanju je web sajt dailynulled.com koji je sličan sajtu nulledstyles.com jer se kao i na ovom drugom i na njemu nalaze piratske teme i pluginovi za WordPress, Joomla i Drupal. Svi ovi sajtovi objavljuju sličan sadržaj, tako da su ovi pluginovi dostupni na više web sajtova kojima upravljaju isti akteri. “Sav sadržaj na ovim web sajtovima je backdoorovan sa CryptoPHP”, kažu istraživači.

CryptoPHP je ime koje su istraživači dali malveru koji se isporučuje žrtvama sa kompromitovanim pluginovima. Ovaj backdoor ima brojne mogućnosti. On nosi nekoliko hardkodovanih domena za komunikaciju sa svojim serverima za komandu i kontrolu (C&C serveri) i koristi RSA enkripciju da bi zaštitio svoju komunikaciju sa njima. Neke verzije malvera mogu da komuniciraju preko emaila ako je C&C domen ugašen. CryptoPHP se može ažurirati, ubacivati sadržaj u kompromitovane sajtove, ali je glavna svrha malvera da sprovodi blackhat SEO kampanje. Cilj ovih kampanja je da se podigne rang sajtova koje kontrolišu napadači ili sajtova njihovih klijenata, što im pomaže da izgledaju legitimno. To se ponekad radi sa kockarskim ili sličnim sajtovima, a može biti povezano i sa drugim prevarama.

Istraživači iz firme Fox-IT su pratili napad do IP adrese u Moldaviji, a C&C serveri su locirani u Holandiji, Nemačkoj, Poljskoj i SAD. Oni su identifikovali hiljade pluginova koji su backdoorovani, uključujući WordPress i Joomla pluginove i Drupal teme. Do 12. novembra je otkriveno 16 verzija malvera CryptoPHP. Prva verzija 0.1 se pojavila 25. septembra 2013., a trenutna verzija malvera nosi oznaku 1.0a i objavljena je 12. novembra.

“Ne možemo utvrditi tačan broj pogođenih web sajtova ali procenjujemo da je bar nekoliko hiljada web sajtova kompromitovano CryptoPHP malverom”, kažu istraživači.

Predrag Damnjanović, vlasnik firme MyCity, kaže da je imao susret sa ovim malverom ovog vikenda, kada je sate proveo pokušavajući da otkrije zašto sajtovi nekih klijenata njegove firme rade sporo i zbog čega emailovi koje pošalju završavaju u spam folderima. Kada je pronašao potpis CryptoPHP malvera, shvatio je da je to razlog zbog čega se server našao na spam black listi. “Sajt proradi kada se inficirani template isključi”, kaže Damnjanović. Ako sumnjate da vam je sajt zaražen ovim malverom, možete iskoristiti skener koji je Damnjanović napravio i postavio na Pastebinu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje