Backdoor mới tấn công các nền tảng WordPress, Drupal và Joomla

 backdoor

Các nhà nghiên cứu bảo mật đã phát hiện hàng ngàn backdoor plugins and themes trong các hệ thống quản lý nội dung phổ biến (CMS) đã được tin tặc sử dụng để tấn công các máy chủ web với quy mô lớn.

Công ty an ninh Fox-IT có trụ sở tại Hà Lan đã báo cáo rằng một Backdoor mới có tên là CryptoPHP và các plugins and themes độc hại cho WordPress, Joomla và Drupal.

Tin tặc sử dụng một thủ thuật đơn giản. Chúng thường thu hút và lừa các quản trị viên website tải miễn phí các phiên bản lậu của plugins and themes CMS thương mại. Sau khi tải về, backdoor sẽ được tự động cài đặt trên máy chủ của các quản trị viên. Một khi được cài đặt trên máy chủ web, các backdoor giúp tội phạm mạng kiểm soát và sử dụng những tùy chọn khác nhau như giao tiếp máy chủ C&C, liên lạc qua email và thậm chí là điều khiển thủ công.

Bạn có thể tải về mã nguồn của mã độc tại đây: http://pastebin.com/BvVwnjty

Các khả năng khác của backdoor CryptoPHP bao gồm:

  • Tích hợp vào một số hệ thống quản lý nội dung phổ biến nhưWordPress, Drupal và Joomla
  • Mã hóa khóa công cộng để liên lạc giữa các máy chủ bị xâm nhập và các máy chủ C&C .
  • Mở rộng cơ sở dữ liệu cho C&C domains và IP’s.
  • Cơ chế sao lưu tại chỗ đối với việc gỡ tên miền C&C trong việc giao tiếp thông qua email.
  • Có thể điều khiển backdoor một cách thủ công.
  • Cập nhật từ xa danh sách các máy chủ C&C.
  • Có khả năng tự động cập nhập

Tội phạm đang sử dụng backdoor CryptoPHP trên các trang web và máy chủ Web bị xâm nhập để truy cập trái phép vào Search Engine Optimization (SEO), còn được gọi là Black Hat SEO. Black hat SEO là một tổ hợp các kỹ thuật và chiến thuật tập trung vào việc tối đa hóa kết quả công cụ tìm kiếm với sự tương tác không phải giữa con người với các trang web.

Fox-IT đã phát hiện ra 16 biến thể của CryptoPHP trên hàng ngàn các backdoor và các plugins, themes độc hại. Phiên bản đầu tiên của backdoor đã xuất hiện từ ngày 25/9/2013. Cho đến nay, con số chính xác về các trang web bị ảnh hưởng bởi các backdoor là chưa xác định, theo ước tính, ít nhất đã có vài ngàn trang web hoặc có thể nhiều hơn bị tổn hại.

Theo THN

Bình luận

Từ khóa: