Cercetatorii de securitate au descoperit un grup de hackeri care a publicat o varietate de teme si plugin-uri compromise (pentru WordPress, Joomla si Drupal) pe site-uri aparent legitime, pacalind dezvoltatorii web sa le descarce si sa le instaleze pe propriile site-uri. Dupa instalare, aceste componente ofera hackerilor control de la distanta asupra site-urilor compromise. Cercetatorii spun ca aceste atacuri sunt in curs de desfasurare inca din septembrie 2013.
Amenintarea, denumita CryptoPHP, foloseste teme si plugin-uri create de hackeri pentru CMS-uri renumite precum Joomla, WordPress si Drupal pentru a compromite servere web la scara larga. Publicand teme si plugin-uri piratate si gratuite pentru oricine, autorul CryptoPHP a resit sa convinga mii de administratori de site-uri sa instaleze acest backdoor pe serverul lor.
Dupa ce a fost instalat pe un server web, CryptoPHP poate fi controlat de la distanta prin mai multe metode, inclusiv printr-un server de comanda si control, comunicare via e-mail, dar si control manual.
Operatorii CryptoPHP se folosesc in prezent de acest backdoor pentru optimizare SEO ilegala, cunoscuta si sub numele de Blackhat SEO. CryptoPHP este un malware cu un cod bine scris si cu capacitati multiple, care includ:
– Integrarea in sisteme de management al continutului renumite, cum ar fi WordPress, Drupal si Joomla
– Criptare cu cheie publica pentru comunicarea intre serverul compromis si serverul de comanda si control
– O infrastructura vasta in ceea ce priveste domeniile si IP-urile serverului de comanda si control
– Mecanisme de notificare via e-mail in cazul suspendarii domeniilor folosite de serverul de comanda si control
– Control manual al backdoor-ului
– Abilitatea de a-si face auto-update
De pe data de 12 noiembrie si pana in prezent au fost identificate mii de plugin-uri si teme compromise care contineau 16 versiuni ale CryptoPHP. Prima versiune a acestuia a fost descoperita pe 25 septembrie 2013 (versiunea 0.1), iar in prezent s-a ajuns la versiunea 1.0a care a fost lansata pentru prima data pe 12 noiembrie 2014. Nu s-a putut determina numarul exact de site-uri afectate, dar estimarea ar fi ca in prezent cel putin cateva zeci de mii de site-uri sunt compromise de CryptoPHP.
Din acest motiv indemnam ca absolut toti clientii megahost care folosesc platforme CMS precum WordPress, Joomla sau Drupal sa-si faca urgent update la ultimele versiuni stabile. Acestea le gasiti la adresele:
WordPress: https://wordpress.org/download/
Joomla: http://www.joomla.org/download.html
Drupal: https://www.drupal.org/download
Pentru clientii care au instalat aceste CMS-uri din Softaculous, update-ul la ultima versiune se face foarte usor. Trebuie doar sa dati click pe iconita Softaculous si vi se afisa intr-o fereastra noua CMS-urile care necesita update la ultima versiune stabila.
Mai multe informatii despre CryptoPHP gasiti aici.