Odkryto tysiące wtyczek do WordPressa, Joomli i Drupala, które zawierały w sobie „furtkę” pozwalającą na uzyskanie dostępu bez wiedzy użytkownika. Wchodząc na fałszywe witryny do złudzenia przypominające oryginalne, Internauta w rzeczywistości pobierał i instalował na swojej stronie pliki ze złośliwym oprogramowaniem. Proceder na masową skalę trwał prawdopodobnie od września 2013 roku.
Incydent wyszedł na jaw przypadkowo. Holenderska firma internetowa odkryła na stronie jednego ze swoich klientów podejrzaną wtyczkę Joomla. Udostępniła raport, który można przejrzeć tutaj. Źródło instalacji prowadziło do witryny z listą pirackich motywów i wtyczek. Żadna nie pochodziła od oryginalnego wydawcy (Joomla Service Provider). Każdą opisano statusem „nulled” – usunięty „callback” pozwalał obejść kontrolę legalności dodatku. Podczas dokładniejszego przeglądania wszystkich treści opublikowanych na pirackiej witrynie okazało się, że każda wtyczka, motyw i rozszerzenie zawierały w sobie taką samą lukę utworzoną w celu późniejszego wykorzystania.
Skrypt nazwany został „CryptoPHP”. Celem złośliwego oprogramowania jest zaangażowanie w Black-Hat SEO poprzez wstrzyknięcie linków odsyłających do innych adresów internetowych w zawartość witryny niczego nie spodziewającego się właściciela. Obecne w nim szyfrowanie RSA chroni komunikację z serwerami C2. Jest to więc klasyczny botnet. Atakujący ma wówczas spore możliwości – nasza strona może być wykorzystana w dowolny sposób. Od rozsyłania spamu, poprzez dystrybucję oprogramowania malware, wyświetlania własnych reklam na przekierowywania naszych użytkowników na inne strony kończąc. Skrypt posiada opcję aktualizowania. Zidentyfikowano kilka wersji – pierwsza z nich (0.1) wprowadzona została 25 września 2013 roku. Wersję 1.0 wypuszczono z datą 12 listopada. Atak powiązano z mołdawskim IP, z kolei serwery C2 znajdują się w Holandii, Niemczech, Stanach Zjednoczonych i Polsce.
Stron internetowych zagrożonych skryptem szacuje się na co najmniej kilka tysięcy. Jeśli instalowałeś pluginy z niepewnego źródła, prawdopodobnie problem dotyczy również Ciebie. Jedynym skutecznym rozwiązaniem jest ponowna instalacja całości od zera bez zainfekowanych wtyczek.
- Jak zarejestrować nową domenę w smarthost.pl? - 12 lipca, 2023
- Luka w zabezpieczeniach do WooCommerce 5.5.1 - 15 lipca, 2021
- Fałszywe e-mail od hackerów i inne niebezpieczne wiadomości e-mail - 13 sierpnia, 2020