Los complementos para gestores de contenidos es algo bastante común y se pueden encontrar a día de hoy con bastante facilidad, muchos de ellos existiendo de forma gratuita. Sin embargo, hay que tener en cuenta que algunos de estos complementos o temas no están programados de forma correcta y poseen errores. La existencia de estos provoca la aparición de puertas traseras que son utilizadas para hackear los servidores de los CMS.
Sin embargo, se ha detectado que hay una serie de complementos o temas que han sido modificados a propósito para introducir en su código una puerta trasera que permita a los ciberdelincuentes acceder en primer lugar al control de administrador del sitio web que utiliza alguno de los software infectados.
De esta forma, los usuarios de Joomla, Drupal o WordPress serían a día de hoy los principales afectados por esta oleada de software modificado, siendo muy difícil de identificar qué complementos se han visto afectados por esta modificación. A pesar de todo, hay que tener muy en cuenta que existe una mayor posibilidad de que el complemento esté infectado si hacemos uso de recursos no legítimos, es decir, pirateados. Esto quiere decir que podremos encontrar CryptoPHP en aquellos plugins o temáticas que sean de pago y recurramos a una página web donde se ofrezcan de forma gratuita.
Una vez que el plugin se instala en el sitio web la puerta trasera se replica en el servidor, pudiendo controlarse en todo momento de forma remota por los ciberdelincuentes.
Algunas funciones de la puerta trasera CryptoPHP
A pesar de lo que pueda parecer, la puerta trasera que nos ocupa está bastante bien equipada y posee una gran cantidad de opciones a la hora de hablar de su gestión y funcionamiento. Algunas de las funciones más destacables son:
- Cifrado de las comunicaciones entre el servidor afectado y el encargado de proporcionar instrucciones de control.
- Una gran infraestructura alrededor de los servidores de control.
- Actualización remota y de forma automática.
- Control manual de la puerta trasera y de forma remota.
Los expertos en seguridad han detallado que la primera variante se localizó el pasado mes de septiembre, añadiendo que la pasada semana se descubrieron hasta un total de 16 variantes nuevas, indicando que existen al menos un total de 16 complementos o temas que han sido modificados y que se ha añadido a su código alguna variante de este backdoor. La finalidad no es otra que la de conseguir el acceso a los servidores y proceder al robo de datos que se encuentran almacenados en estos.
Empresas especializadas en temas de seguridad estiman que cientos de sitios web podrían estar afectados a día de hoy por la instalación de software infectado con CryptoPHP
Fuente | The Hacker News