Ribuan plugin backdoored dan tema untuk populer sistem manajemen konten (CMS) sedang dimanfaatkan oleh kelompok ancaman penyalahgunaan server web dalam skala besar.
Perusahaan keamanan yang berbasis di Belanda Fox-IT telah menerbitkan whitepaper merinci ancaman dijuluki "CryptoPHP." Para peneliti telah menemukan tema berbahaya dan plugin untuk Wordpress, Drupal dan Joomla. Dalam kasus Drupal, tema hanya telah ditemukan mengandung backdoor CryptoPHP.
Para penyerang sering mengelabui administrator situs ke menginstal backdoor dengan menawarkan versi bajakan dari tema premium dan plugin. Perangkat lunak berbahaya sedang didistribusikan melalui berbagai tema dan plugin website, seperti Harian nulled atau nulled Style. Fox-IT memperkirakan bahwa ribuan website yang terpengaruh.
Setelah terinstal pada server Web, malware dapat dikendalikan oleh penjahat cyber secara manual, atau melalui komando dan kontrol (C & C) dan komunikasi email.
Menurut Fox-IT, penjahat cyber telah menggunakan backdoor untuk topi hitam optimasi mesin pencari (SEO). CryptoPHP menyuntikkan link dan teks ke dalam halaman web host pada server dikompromikan untuk menghasilkan backlink.
Para penyerang telah mengambil langkah-langkah untuk memastikan bahwa operasi mereka tidak dapat dideteksi atau terganggu dengan mudah. Mereka menggunakan enkripsi kunci publik untuk komunikasi antara server dikompromikan dan C & C, dan mereka mengandalkan banyak C & C domain dan alamat IP (191 domain yang unik dan 45 IP yang unik). Fitur komunikasi email adalah mekanisme cadangan untuk kemungkinan bahwa mereka C & C domain yang ditutup.
Mayoritas server C & C yang digunakan oleh ancaman terletak di Belanda (40%), Jerman (40%), dan Amerika Serikat (18%).
Versi pertama dari CryptoPHP diluncurkan pada tanggal 25 September 2013. Sebanyak 16 varian telah dirilis sejak saat itu, dengan terbaru (versi 1.0a) akan hidup pada 12 November 2014. Bukti ditemukan oleh para peneliti menunjukkan bahwa penulis backdoor bisa ditemukan di Moldova.
Kehadiran backdoor yang ditunjukkan oleh berikut PHP potongan di salah satu file komponen tema / plugin, tergantung pada CMS yang ditargetkan: Php include ('images / social.png');? ?>. Indikator tambahan kompromi (IOC) yang tersedia dalam whitepaper() diterbitkan oleh Fox-IT.
Sources : Hackinsight
0komentar:
Post a Comment