Home / AClasificación2 / Destacadas / 23.000 servidores web fueron infectados con el backdoor CryptoPHP

23.000 servidores web fueron infectados con el backdoor CryptoPHP

 

malware-virus-100047712-gallery_hi

Más de 23.000 mil servidores fueron infectados con el backdoor llamado CryptoPHP, que viene adosado a temas pirateados y plug-ins de conocidos sistemas de gestión de contenido.

CryptoPHP es un script malicioso que brinda a los atacantes remotos la posibilidad de ejecutar código en los servidores Web e inyectar contenido malicioso en los sitios web que tenga alojados.

De acuerdo a la firma de seguridad alemana Fox-IT, la cual publicó un informe sobre la amenaza la semana pasada, el backdoor es utilizado principalmente para optimización de motores de búsqueda de black hat (BHSEO), una operación que involucra inyectar palabras clave y páginas en sitios comprometidos para secuestrar sus rankings en motores de búsqueda e impulsar contenido malicioso en los resultados de búsqueda.

A diferencia de la mayoría de backdoors de sitios web, CryptoPHP no se instala explotando vulnerabilidades. En lugar de ello, los atacantes distribuyen versiones pirateadas de plug-ins y temas para Joomla, WordPress y Drupal a través de diversos sitios y esperan a que los webmaster los descarguen e instalen en sus propios sitios web. Esos plug-ins y temas pirateados tienen el CryptoPHP insertado.ç

Los servidores Web infectados actúan como una botnet. Se conectan a servidores de control operados por los atacantes usando canales encriptados de comunicación.

Con la ayuda del Centro Nacional de Ciber Seguridad del gobierno alemán y de Abuse.ch, Shadowserver Foundation y Spamhaus, organizaciones de lucha contra la ciberdelincuencia,  Fox-IT tomó el control de los dominios de control y comando de CryptoPHP y los dirigió hacia servidores bajo su control para recopilar estadísticas, una operación conocida como sinkholing.

29/11/2014 – Lucian Constantin – PCWorld