CryptoPHP: la backdoor che ha infettato più di 20.000 Cms
CryptoPHP, il malware che colpisce i Cms, si “contrae” scaricando copie pirata di temi, componenti e plug-in presenti su alcuni siti di sharing. La diffusione di questo virus, come è emerso da una ricerca condotta dal team di Fox-it, si è avuta a partire dal mese di settembre dello scorso anno. L’attuale versione del malware risale al 12 novembre del 2014. Il principale scopo di CryptoPHP è quello di contraffare i dati della Seo (Search Engine Optimization), mettendo in atto la pratica malevola del BlackhatSEO.
In cosa consiste il codice malevolo CryptoPHP
CryptoPHP è una pericolosa minaccia informatica che, stando a quanto dichiarato dal security research team di Fox-it (un sito olandese specializzato nei servizi di sicurezza avanzata), colpisce i siti e i blog realizzati con i più popolari Cms (Content Management System), ovvero Joomla, WordPress e Drupal.
Si tratta di un dannoso programma backdoor che permette di bypassare gli usuali processi di autenticazione, riuscendo ad installarsi nei siti degli utenti. Il noto analista Yonathan Klijnsma, a tal proposito, rivolgendosi ai web master e ai gestori di siti internet, ha affermato quanto segue: “La backdoor garantisce pieno accesso al vostro server […]La modifica dei contenuti avviene già con la messa in atto della Blackhat SEO rendendo inoltre possibile la diffusione di altri malware”.
CryptoPHP è in grado di insinuarsi in un dato sistema informatico, qualora venga effettuato il download della versione craccata di plugin, template e componenti etichettati come nulled (letteralmente “annullato”). Il software malevolo, in effetti, si trova in un file che in apparenza è un’immagine con estensione .png, ma che in realtà contiene un frammento php oscurato e le relative istruzioni per dare luogo ad una comunicazione ingannevole con un dato server.
Questo malware, in tal modo, è in grado di compromettere i server web su larga scala. Una volta che il backdoor viene installato, l’hacker ha l’accesso completo dei siti infetti e può controllare il malware utilizzando diversi tool che rendono difficile a terzi l’individuazione dello stesso:
1) il comando e il controllo del server (Command and Controll) su un canale crittografato
2) comunicazione tramite mail
3) controllo manuale del programma backdoor
4) updating remoto della lista dei server C2
5) sistemi di ripristino contro l’eventuale takedown del dominio C2
Il security team di Fox-it ha rilevato la presenza di ben 16 varianti di CryptoPHP e, in seguito, ha stilato e pubblicato online un elenco dettagliato di tutti i siti di sharing che hanno messo a disposizione degli internauti applicazioni e software infetti, al fine di arginare la diffusione del malware. A questo punto si attende la contromossa degli hacker: essi, infatti, dovranno elaborare una strategia alternativa allo scopo di seguitare a diffondere il programma backdoor.
Lo scopo di CryptoPHP
Va detto che CryptoPHP è stato messo a punto da un Lamer, ovvero da un esperto del ramo informatico che utilizza le proprie conoscenze al fine di rilevare bug e vulnerabilità di un sistema per trarne un vantaggio personale. Lo scopo precipuo della campagna CryptoPHP è quello di alterare le Serp (Search Engine Report Page) dei principali motori di ricerca (come Google e Bing) mettendo in atto la pratica malevola denominata BlackhatSEO. Quest’ultima può essere utilizzata sia per inserire determinati siti nella blacklist dei motori di ricerca, sia per migliorare il posizionamento di siti che non sono ben visti dai search engine.
Come evitare di essere infettati da CryptoPHP
La soluzione più ovvia per evitare di infettare il proprio sito web e di conseguenza il server su cui esso è allocato, è quella di evitare di fare il download di software privi di regolare licenza. E’ altrettanto opportuno verificare che il web designer e/o il web master cui si affida la realizzazione del proprio sito web o un suo eventuale restyling, si servano esclusivamente di materiale ottenuto legalmente. Si consiglia, pertanto, di diffidare di preventivi eccessivamente modici, che non coprirebbero neanche le spese per l’acquisto di un template, di un componente o di un plug-in muniti di regolare licenza.
Come rimuovere CryptoPHP
In primo luogo una volta scaricato il tema o il plugin bisogna scompattarlo e controllare se al suo interno ci siano contenuti di questo tipo: “The best online place for nulled scripts. Direct downloads no bullshit”; in seguito è necessario verificare che nella cartella immagini del tema o del plugin sia presente un file denominato social.png, ovvero il malware mascherato da png.
Una volta individuato è necessario eliminarlo. A questo punto bisogna andare alla ricerca del file functions.php, che è contenuto nella directory principale del template e che include una parte di codice php. Una volta aperto il file bisogna cercare ed eliminare la stringa “include”.
Con questa procedura il sistema informatico dovrebbe essere del tutto risanato. Tuttavia, per una maggiore sicurezza, si consiglia anche di verificare che nel database non siano stati aggiunti nuovi account del tipo admin.
Virus Total
Un buon metodo per prevenire l’attacco dei backdoor è la scansione sistematica di tutti i file scaricati da siti non attendibili tramite il tool gratuito Virus Total. Il servizio, che può essere utilizzato online, analizza i file sospetti ed identifica rapidamente l’eventuale presenza di di virus, worm, trojan e di qualsiasi tipo di malware.
Un valido tool per tutelare WordPress
Un efficace strumento per mettere al sicuro i siti realizzati con il Cms WordPress da possibili attacchi informatici, è il plugin di classe enetrprise Wordfence Security; le principali funzioni svolte da questo tool sono il monitoraggio e l’eventuale blocco delle attività anomale e del traffico considerato sospetto.
Anche in questo caso si tratta di un servizio gratuito (almeno la sua versione di base) che consente di scansionare i file di WordPress e dei suoi componenti, al fine di individuare eventuali codici maligni. Qualora questi ultimi vengano rilevati Wordfence Security esegue il ripristino immediato del file corretto. Inoltre questo plugin provvede anche a confrontare le URL (Uniform Resource Locator) presenti nei contenuti e nei commenti del sito con quelle che sono state penalizzate da Big G.