Backdoor CryptoPHP u pluginovima za WordPress, Joomla i Drupal

Opisi virusa, 23.11.2014, 21:13 PM

Backdoor CryptoPHP u pluginovima za WordPress, Joomla i Drupal

Istraživači su otkrili kriminalnu grupu koja na naizgled legitimnim sajtovima objavljuje različite kompromitovane WordPress teme i dodatke kako bi se ubedile potencijalne žrtve da ih preuzmu i instaliraju na svojim sajtovima. Teme i dodaci koje nudi grupa omogućavaju napadačima daljinsku kontrolu nad kompromitovanim sajtovima, a istraživači kažu da je moguće da je ovaj napad započeo još u septembru prošle godine.

Slučaj je otkriven kada su istraživači iz firme Fox-IT u Holandiji otkrili kompromitovani Joomla plugin na sajtu jednog klijenta. Istraga je pokazala da je plugin preuzet sa sajta na kome se nudi niz piratskih tema i dodataka.

“Plugin nije došao od originalnog izdavača (Joomla Service Provider) već od third party web sajta koji tvrdi da je mesto za “nullovane” skripte. Koncept nullovanih skripta je sličan pirastkom softveru; oslobođen od bilo kakvih provera licenci, ukratko, to je piraterija”, kažu istraživači.

“Dok smo istraživali web sajt nulledstylez.com otkrili smo da svaki piratski plugin, tema i ekstenzija sadrži isti backdoor”, rekli su istraživači koji su otkrili neke ZIP fajlove sa komentarom sličnom onom iz prvog incidenta ali koji su upućivali na drugi domen. U pitanju je web sajt dailynulled.com koji je sličan sajtu nulledstyles.com jer se kao i na ovom drugom i na njemu nalaze piratske teme i pluginovi za WordPress, Joomla i Drupal. Svi ovi sajtovi objavljuju sličan sadržaj, tako da su ovi pluginovi dostupni na više web sajtova kojima upravljaju isti akteri. “Sav sadržaj na ovim web sajtovima je backdoorovan sa CryptoPHP”, kažu istraživači.

CryptoPHP je ime koje su istraživači dali malveru koji se isporučuje žrtvama sa kompromitovanim pluginovima. Ovaj backdoor ima brojne mogućnosti. On nosi nekoliko hardkodovanih domena za komunikaciju sa svojim serverima za komandu i kontrolu (C&C serveri) i koristi RSA enkripciju da bi zaštitio svoju komunikaciju sa njima. Neke verzije malvera mogu da komuniciraju preko emaila ako je C&C domen ugašen. CryptoPHP se može ažurirati, ubacivati sadržaj u kompromitovane sajtove, ali je glavna svrha malvera da sprovodi blackhat SEO kampanje. Cilj ovih kampanja je da se podigne rang sajtova koje kontrolišu napadači ili sajtova njihovih klijenata, što im pomaže da izgledaju legitimno. To se ponekad radi sa kockarskim ili sličnim sajtovima, a može biti povezano i sa drugim prevarama.

Istraživači iz firme Fox-IT su pratili napad do IP adrese u Moldaviji, a C&C serveri su locirani u Holandiji, Nemačkoj, Poljskoj i SAD. Oni su identifikovali hiljade pluginova koji su backdoorovani, uključujući WordPress i Joomla pluginove i Drupal teme. Do 12. novembra je otkriveno 16 verzija malvera CryptoPHP. Prva verzija 0.1 se pojavila 25. septembra 2013., a trenutna verzija malvera nosi oznaku 1.0a i objavljena je 12. novembra.

“Ne možemo utvrditi tačan broj pogođenih web sajtova ali procenjujemo da je bar nekoliko hiljada web sajtova kompromitovano CryptoPHP malverom”, kažu istraživači.

Predrag Damnjanović, vlasnik firme MyCity, kaže da je imao susret sa ovim malverom ovog vikenda, kada je sate proveo pokušavajući da otkrije zašto sajtovi nekih klijenata njegove firme rade sporo i zbog čega emailovi koje pošalju završavaju u spam folderima. Kada je pronašao potpis CryptoPHP malvera, shvatio je da je to razlog zbog čega se server našao na spam black listi. “Sajt proradi kada se inficirani template isključi”, kaže Damnjanović. Ako sumnjate da vam je sajt zaražen ovim malverom, možete iskoristiti skener koji je Damnjanović napravio i postavio na Pastebinu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver MacStealer krade lozinke korisnika Appleovih računara

Novi malver MacStealer krade lozinke korisnika Appleovih računara

Novi malver za krađu informacija sa računara sa macOS operativnim sistemom, nazvan MacStealer, najnoviji je primer pretnje koja koristi Telegram kao... Dalje

Sa ChatGPT napravljen polimorfni malver

Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje