CryptoPhp, la pericolosa backdoor dei CMS

CryptoPhp è il nome della pericolosa backdoor progettata per attaccare i siti realizzati con noti CMS come WordPress, Drupal e Joomla

Il security research team Fox-it ha scoperto la scorsa settimana una pericolosa backdoor, soprannominata dai ricercatori “CryptoPhp”, in grado di installarsi nei sistemi degli utenti attraverso  plugin ed altri temi illegali di popolari CMS come WordPress, Drupal e Joomla.

Backdoor CryptoPhpL’obiettivo principale degli hacker è, utilizzando una tecnica SEO illegale detta Blackhat SEO, quello di aumentare  il punteggio di rank di siti solitamente “mal visti” da motori di ricerca come Google e Bing – in particolare portali di scommesse online e simili; Fox-it ha tenuto tuttavia a sottolineare che la backdoor consente inoltre ai malintenzionati di avere accesso completo ai siti infettati: “la backdoor garantisce pieno accesso al vostro server, possono fare quello che vogliono” ha dichiarato l’analista Yonathan Klijnsma.

La modifica dei contenuti avviene già con la messa in atto della Blackhat SEO rendendo inoltre possibile la diffusione di altri malware, abbiamo ad esempio notato che [gli hacker] sono in grado di inserire codice JavaScript malevolo all’interno della pagine di login WordPress al fine di rubare le credenziali di accesso degli amministratori” ha aggiunto Klijnsma.

Alcune stime sul numero di server colpiti dalla backdoor

Nel report, liberamente consultabile online, sono stati elencati alcuni  dei siti che hanno messo a disposizione di ignari utenti il materiale infetto. Per quanto riguarda il livello di diffusione di CryptoPhp, i ricercatori hanno riferito che , in seguito alla messa offline di diversi domini C&C (Command and Controll), si è passati da 23.693 indirizzi IP unici interessati a 16.786  nell’arco di alcuni giorni. “Le cifre non forniscono comunque un’indichiazione definitiva soprattutto perchè buona parte dei server che si sono connessi ai nostri sinkholes [server che imitano le modalità di funzionamento delle macchine che tentano di controllare in remoto i server infetti] venivano utilizzati per shared hosting ed ospitavano almeno uno o più siti infetti. Il numero di portali colpiti potrebbe essere quindi sensibilmente superiore. […]”.

I ricercatori hanno infine ricordato che gli utilizzatori della backdoor, essendo probabilmente a conoscenza del report pubblicato dal security team Fox-it, tenteranno certamente di cambiare strategia in modo da poter continuare ad agire indisturbati o quasi in Rete.