ΑρχικήsecurityΠάνω από 23.000 Web Server IPs συνδέονται με Domains του CryptoPHP

Πάνω από 23.000 Web Server IPs συνδέονται με Domains του CryptoPHP

Ερευνητές παρατήρησαν συνδέσεις από 23.693 μοναδικές διευθύνσεις IP σε Command & Control (C & C) servers που χρησιμοποιούνται από το malware CryptoPHP για τα δημοφιλή συστήματα διαχείρισης περιεχομένου (CMS) WordPress, Drupal και Joomla.

CryptoPHP

Πληροφορίες σχετικά με την κλίμακα της δραστηριότητας του CryptoPHP συγκεντρώθηκαν από την Fox IT σε συνεργασία με τις Abuse.ch, Shadowserver και Spamhaus.

Μετά το sinkholing των περισσότερων από τους ενεργούς C&C servers, οι ερευνητές παρατήρησαν μια μείωση στην ποσότητα των διευθύνσεων που συνδέονταν με αυτούς. Ως εκ τούτου, όλο και λιγότερες IPs συνδέονται με τα εν λόγω domains καθώς 16.786 καταγράφηκαν στις 24 Νοεμβρίου.

Ωστόσο, οι ερευνητές εφιστούν την προσοχή στο γεγονός ότι η συγκεκριμένη πληροφορία δεν έχει ιδιαίτερη σημασία για τον υπολογισμό του ποσού των ιστοσελίδων που έχουν επηρρεαστεί, επειδή οι web servers πιθανόν να φιλοξενούν πολλαπλές ιστοσελίδες. Συνεπώς, το κακόβουλο λογισμικό θα μπορούσε να επιχειρήσει σύνδεση με τον κακόβουλο διακομιστή από διάφορες ιστοσελίδες, με την ίδια IP, γεγονός το οποίο καθιστά τον πιθανό αριθμό των μολυσμένων ιστότοπων μεγαλύτερο.

Σύμφωνα με τα στοιχεία από τους ερευνητές, οι περισσότερες επιτυχημένες επιθέσεις εντοπίζονται στις ΗΠΑ, όπου καταγράφηκαν 8.657 compromised διευθύνσεις. Στη συνέχεια, είναι η Γερμανία, με 2.877 IPs.

Η Fox IT εντόπισε περίπου 16 εκδόσεις του CryptoPHP και το πρώτο που εντόπισε ήταν τον Σεπτέμβριο του 2013. Διαδόθηκε μέσω χιλιάδων πειρατικών αντιγράφων plug-ins και θεμάτων για το δημοφιλές λογισμικό CMS. Η τελευταία έκδοση της απειλής είναι η 1.0 και ανακαλύφθηκε στις 12 Νοεμβρίου.

Οι ερευνητές ισχυρίζονται ότι πολλές από τις ιστοσελίδες που χρησιμοποιούνται για τη διάδοση της απειλής εξαφανίστηκαν την Κυριακή και επανεμφανίστηκαν τη Δευτέρα με μια νέα έκδοση του malware το οποίο είναι ακόμα ενεργό.

Η Fox IT αναφέρει σε μια έκθεση ότι το CryptoPHP χρησιμοποιείται για Blackhat SEO, μέσω injecting συνδέσμων και κειμένου σε ιστοσελίδες, αλλά μόνο όταν ο επισκέπτης φαίνεται σαν web crawler.

Το Blackhat SEO (Search Engine Optimization) είναι μια τεχνική που αυξάνει την κατάταξη ενός δικτυακού τόπου σε μια μηχανή αναζήτησης μέσω αθέμιτων μέσων. Η πρακτική παραβιάζει τους όρους της μηχανής αναζήτησης και, ως εκ τούτου, οδηγεί σε απαγόρευση του ιστότοπου που προωθείται.

Εικάζεται ότι ο δημιουργός βρίσκεται στο Κισινάου, την πρωτεύουσα της Δημοκρατίας της Μολδαβίας. Οι πληροφορίες που έχουν προκύψει σύμφωνα με έναν πράκτορα-χρήστη με το όνομα “chishijen12” οδήγησαν σε μια διεύθυνση IP που χρησιμοποιείται από τον Δεκέμβριο του 2013.

Ο κατάλογος των χαρακτηριστικών του κακόβουλου λογισμικού στηρίζεται σε RSA δημόσιο κλειδί κρυπτογράφησης για την επικοινωνία μεταξύ του θύματος και του C&C server.

Εάν ο διακομιστής C&C απενεργοποιηθεί, η επικοινωνία πραγματοποιείται μέσω email. Επιπλέον, ειδικοί σε θέματα ασφάλειας διαπίστωσαν ότι το backdoor μπορεί επίσης να ελέγχεται με το χέρι, χωρίς την ύπαρξη ενός συστήματος εντολών και ελέγχου.
Για να βοηθήσει τους διαχειριστές να διαπιστώσουν αν το CryptoPHP υπάρχει στην ιστοσελίδα τους, η Fox IT δημιούργησε δύο Python scripts, που διατίθονται στο GitHub. Το ένα script προορίζεται για την ανίχνευση της παρουσίας της απειλής, ενώ οι άλλες σαρώσεις αναζητούν αρχεία του backdoor.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS