Backdoor CryptoPHP u pluginovima za WordPress, Joomla i Drupal

Opisi virusa, 23.11.2014, 21:13 PM

Backdoor CryptoPHP u pluginovima za WordPress, Joomla i Drupal

Istraživači su otkrili kriminalnu grupu koja na naizgled legitimnim sajtovima objavljuje različite kompromitovane WordPress teme i dodatke kako bi se ubedile potencijalne žrtve da ih preuzmu i instaliraju na svojim sajtovima. Teme i dodaci koje nudi grupa omogućavaju napadačima daljinsku kontrolu nad kompromitovanim sajtovima, a istraživači kažu da je moguće da je ovaj napad započeo još u septembru prošle godine.

Slučaj je otkriven kada su istraživači iz firme Fox-IT u Holandiji otkrili kompromitovani Joomla plugin na sajtu jednog klijenta. Istraga je pokazala da je plugin preuzet sa sajta na kome se nudi niz piratskih tema i dodataka.

“Plugin nije došao od originalnog izdavača (Joomla Service Provider) već od third party web sajta koji tvrdi da je mesto za “nullovane” skripte. Koncept nullovanih skripta je sličan pirastkom softveru; oslobođen od bilo kakvih provera licenci, ukratko, to je piraterija”, kažu istraživači.

“Dok smo istraživali web sajt nulledstylez.com otkrili smo da svaki piratski plugin, tema i ekstenzija sadrži isti backdoor”, rekli su istraživači koji su otkrili neke ZIP fajlove sa komentarom sličnom onom iz prvog incidenta ali koji su upućivali na drugi domen. U pitanju je web sajt dailynulled.com koji je sličan sajtu nulledstyles.com jer se kao i na ovom drugom i na njemu nalaze piratske teme i pluginovi za WordPress, Joomla i Drupal. Svi ovi sajtovi objavljuju sličan sadržaj, tako da su ovi pluginovi dostupni na više web sajtova kojima upravljaju isti akteri. “Sav sadržaj na ovim web sajtovima je backdoorovan sa CryptoPHP”, kažu istraživači.

CryptoPHP je ime koje su istraživači dali malveru koji se isporučuje žrtvama sa kompromitovanim pluginovima. Ovaj backdoor ima brojne mogućnosti. On nosi nekoliko hardkodovanih domena za komunikaciju sa svojim serverima za komandu i kontrolu (C&C serveri) i koristi RSA enkripciju da bi zaštitio svoju komunikaciju sa njima. Neke verzije malvera mogu da komuniciraju preko emaila ako je C&C domen ugašen. CryptoPHP se može ažurirati, ubacivati sadržaj u kompromitovane sajtove, ali je glavna svrha malvera da sprovodi blackhat SEO kampanje. Cilj ovih kampanja je da se podigne rang sajtova koje kontrolišu napadači ili sajtova njihovih klijenata, što im pomaže da izgledaju legitimno. To se ponekad radi sa kockarskim ili sličnim sajtovima, a može biti povezano i sa drugim prevarama.

Istraživači iz firme Fox-IT su pratili napad do IP adrese u Moldaviji, a C&C serveri su locirani u Holandiji, Nemačkoj, Poljskoj i SAD. Oni su identifikovali hiljade pluginova koji su backdoorovani, uključujući WordPress i Joomla pluginove i Drupal teme. Do 12. novembra je otkriveno 16 verzija malvera CryptoPHP. Prva verzija 0.1 se pojavila 25. septembra 2013., a trenutna verzija malvera nosi oznaku 1.0a i objavljena je 12. novembra.

“Ne možemo utvrditi tačan broj pogođenih web sajtova ali procenjujemo da je bar nekoliko hiljada web sajtova kompromitovano CryptoPHP malverom”, kažu istraživači.

Predrag Damnjanović, vlasnik firme MyCity, kaže da je imao susret sa ovim malverom ovog vikenda, kada je sate proveo pokušavajući da otkrije zašto sajtovi nekih klijenata njegove firme rade sporo i zbog čega emailovi koje pošalju završavaju u spam folderima. Kada je pronašao potpis CryptoPHP malvera, shvatio je da je to razlog zbog čega se server našao na spam black listi. “Sajt proradi kada se inficirani template isključi”, kaže Damnjanović. Ako sumnjate da vam je sajt zaražen ovim malverom, možete iskoristiti skener koji je Damnjanović napravio i postavio na Pastebinu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje