Pesquisadores de segurança descobriram milhares de plugins e temas backdoor para os sistemas populares de gerenciamento de conteúdo (CMS) que poderiam ser usados por crackers para comprometer servidores web em larga escala.
A empresa de segurança com sede na Holanda Fox-IT publicou um whitepaper revelando uma nova Backdoor chamado “CryptoPHP . “ Os pesquisadores de segurança descobriram plugins maliciosos e temas para WordPress, Joomla e Drupal . Contudo, há um ligeiro alívio para os usuários do Drupal, como somente os temas são considerados infectados de CryptoPHP backdoor.
A fim de vitimizar os administradores do site, os meliantes faz uso de um simples truque de engenharia social.Eles muitas vezes atraído os administradores do site para baixar versões piratas de comerciais plugins CMS e temas de graça. Uma vez baixado, o tema malicioso ou plug-in incluído backdoor instalado no servidor dos administradores.
“Ao publicar temas piratas e plug-ins gratuitos para qualquer um usar, em vez de ter que pagar por eles, o ator CryptoPHP é de engenharia social administradores do site para instalar o backdoor incluída em seu servidor,”
Fox-IT disse em sua análise sobre a ataque.
Uma vez instalado em um servidor web, o backdoor pode ser controlado por criminosos virtuais usando várias opções, tais como servidor de comando e controle (C & C) comunicação, comunicação e-mail e controle manual também.
Outros recursos do backdoor CryptoPHP incluem:
- Integração com sistemas de gerenciamento de conteúdo populares, como WordPress , Drupal e Joomla
- Criptografia de chave pública para comunicação entre o servidor comprometido eo servidor de comando e controle (C2)
- Uma ampla estrutura em termos de domínios C2 e IP de
- Mecanismos de backup no lugar contra quedas de domínio C2, na forma de comunicação e-mail
- O controle manual do backdoor além da comunicação C2
- Actualização remota da lista de servidores C2
- Capacidade de se atualizar
Miscreants estão usando CryptoPHP backdoor em sites comprometidos e servidores Web para ilegal Search Engine Optimization (SEO), que também é conhecida como Black Hat SEO, disseram pesquisadores em seu relatório. É porque os sites comprometidos link para os sites dos atacantes aparecer mais nos resultados dos buscadores.
Black Hat SEO é um conjunto de técnicas e táticas que se concentram na maximização de resultados de pesquisas com a interação não-humano com as páginas, assim, violar as diretrizes do Search Engine. Estes incluem a palavra-chave enchimento, texto invisível, páginas de entrada, adicionar palavras-chave não relacionadas com o conteúdo da página ou página de troca.
A empresa de segurança descobriu 16 variantes de CryptoPHP Backdoor em milhares de plugins e temas backdoored partir de 12 de novembro de 2014. A primeira versão do backdoor foi apareceu no dia 25 de setembro de 2013. O número exato de sites afetados pela backdoor é indeterminado, mas a empresa estima que pelo menos alguns milhares de sites ou possivelmente mais estão comprometidas.