CryptoPHP – backdoor infestante per CMS come Joomla, Drupal e WordPress

Spread the love

Black Hat SEO and CryptoPHPQuesto articolo, prodotto da FoxIt NV (una società olandese) e rilasciato il 20 novembre 2014, riporta lo studio di un software malevolo scaricabile come se si trattasse di un prodotto per la sicurezza di Joomla (jSecurity) ma che include una backdoor, che è stato battezzato CryptoPHP, il cui cuore si trova in un file che apparentemente è una immagine PNG ed invece contiene un frammento PHP oscurato con le istruzioni per effettuare la comunicazione fraudolenta con i server di riferimento. La comunicazione avviene su una connessione cifrata con l’adozione dello schema RSA (crittografia asimmetrica) con una chiave a 2048 bit. Il plugin è scaricabile da una ventina di siti, ovviamente una versione gratuita del vero jSecurity che invece prevede il pagamento di un costo licenza.

Il software di backdoor è ben scritto e si adatta ad una varietà di scenari diversi; innanzitutto funziona su tre CMS molto diffusi; comunica con il server di comando e controllo usando crittografia a chiave pubblica; prevede meccanismi di invio posticipati, come l’email, nel caso non riuscisse ad aprire una connessione SSL; automantiene una lista dei server di comando e controllo disponibili.

Lo scopo di questa backdoor è di consentire ad operatori remoti di falsare i dati dei Search Engine Optimization (SEO) tramite la pratica malevola del BlackhatSEO.

Leggi il report completo di Fox-IT BV

2 commenti

  1. Ciao! Mi permetto un piccolo appunto, in quanto specialista SEO da circa 10 anni. Strumenti come questo cryptophp o altri tipi di backdoor, non è considerato “Black hat” dagli altri SEO: è semplicemente un criminale.
    Il vero “black hat seo” non ha bisogno di hackerare siti altrui per ottenere risultati: cerca modi alternativi per ottenere visibilità su Google, ma sicuramente non viola la sicurezza.

    E la definizione di wikipedia è fuorviante e ferma al decennio scorso 🙂

    buone feste!

    1. Grazie della tua precisazione.
      In realtà non ho riportato quanto si trova su Wikipedia (anche se andando a vedere la cronologia della pagina, l’ultima versione è dell’aprile 2013: ho solo messo il link perché così uno va a vedere cos’è BlackHat) bensì quello che scrive la stessa FOX IT che definisce così la pratica del BlackHat SEO nel documento che è allegato al post.

      The crawlers now think these compromised websites are linking to the injected ones; these injected websites
      will gain backlinks and thus page rank. This concept is known as an illegal way of Search Engine Optimization,
      also known as Blackhat SEO.

      Sul fatto che si tratti di un criminale sono perfettamente d’accordo! 🙂

      Buon Natale!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.