CryptoPHP backdoor تسترق خوادم مع الوظائف الاضافية الضارة وثيمات

قد اكتشف باحثوا الأمن الآلاف من الإضافات والمواضيع backdoored لأنظمة إدارة المحتوى شعبية (CMS) التي يمكن استخدامها من قبل المهاجمين لتقديم تنازلات خوادم الشبكة على نطاق واسع.
شركة أمن مقرها هولندا فوكس-IT وقد نشرت المستند التقني وكشف عن backdoor الجديد يسمى "تشفير PHP." وقد كشف الباحثون الأمن الإضافات والموضوعات الخبيثة علي WordPress, Joomla ,Drupal. ومع ذلك، هناك اغاثة طفيفة للمستخدمين Drupal، كما تم العثور على موضوعات الوحيدة للإصابة من تشفير PHP backdoor
من أجل إيذاء مسؤولي الموقع، المجرم يجعل من استخدام بسيطة خدعة الهندسة الاجتماعية. وغالبا ما جذبه مدراء موقع لتحميل إصدارات مقرصنة من الإضافات CMS التجارية والموضوعات مجانا. بمجرد تحميل، موضوع الخبيثة أو المساعد شملت تثبيت الباب الخلفى على خادم مدراء ".

"من خلال نشر موضوعات المقرصنة والمكونات الإضافية المجانية على أي شخص استخدام بدلا من الاضطرار لدفع ثمنها، والفاعل هو CryptoPHP الاجتماعية الهندسة مسؤولي الموقع إلى تثبيت الباب الخلفى المدرجة على الخادم الخاص بهم،" هذا ما قاله فوكس-IT في تحليله على الهجوم.

 مرة واحدة مثبتة على خادم الويب، يمكن السيطرة عليها backdoor من قبل مجرمي الإنترنت باستخدام خيارات مختلفة مثل القيادة والسيطرة الخادم (C & C) الاتصالات، والبريد الإلكتروني والتحكم اليدوي أيضا.

قدرات أخرى من الباب الخلفي CryptoPHP ما يلي:

• التكامل في نظم إدارة المحتوى الشهيرة مثل WordPress, Joomla ,Drupal
• التشفير بالمفتاح العمومي للاتصال بين الخادم والخادم للخطر القيادة والسيطرة (C2)
• بنية تحتية واسعة النطاق من حيث المجالات C2 وعلى IP
• آليات احتياطية في مكان ضد takedowns مجال C2 في شكل الاتصال عبر البريد الالكتروني
• التحكم اليدوي من الباب الخلفي إلى جانب التواصل C2
• تحديث عن بعد من قائمة ملقمات C2
• القدرة على تحديث نفسها

المجرمون يستخدمون CryptoPHP مستتر على مواقع ويب المكسور وملقمات ويب غير قانوني محرك البحث الأمثل ، قال باحثون في تقريرها (SEO)، والذي يعرف أيضا باسم قبعة سوداء كبار المسئولين الاقتصاديين. فذلك لأن المواقع المعرضة للشبهة تصل إلى مواقع المهاجمين تظهر أعلى في نتائج محرك البحث.

قبعة سوداء كبار المسئولين الاقتصاديين هو مجموعة من التقنيات والتكتيكات التي تركز على تعظيم نتائج محرك البحث مع التفاعل غير البشرية مع الصفحات، منتهكة بذلك المبادئ التوجيهية محرك البحث. وتشمل هذه حشو الكلمات الرئيسية، والنص غير مرئية، صفحات المدخل، إضافة كلمات رئيسية لا علاقة لها محتوى الصفحة أو صفحة مبادلة.

اكتشفت شركة أمنية 16 أنواع من CryptoPHP backdoor على آلاف من الإضافات والمواضيع backdoored اعتبارا من كان ظهر 12 نوفمبر عام 2014. النسخة الأولى من الباب الخلفي على 25 سبتمبر 2013. والعدد الدقيق للمواقع المتضررة من backdoor هو غير محدد، ولكن الشركة تقدر أن ما لا يقل عن بضعة آلاف من المواقع أو ربما أكثر وللخطر.