Ruim 23.000 websites besmet met CryptoPHP
Meer dan 23.000 websites zijn besmet geraakt met de CryptoPHP-malware. Dat ontdekte het Nederlandse beveiligingsbedrijf FoxIT. De malware raakt verspreid via illegale plug-ins en thema’s voor populaire CMS-systemen als Wordpress, Joomla en Drupal.
Met de malware kunnen hackers kwaadaardige code in websites injecteren en op afstand code uitvoeren. Het lijkt erop dat het de cybercriminelen vooral te doen is om zogenaamde black hat search engine optimization (BHSEO). Daarbij is het de bedoeling om de rangschikking in zoekmotors te manipuleren en schadelijke sites hoger in de zoekresultaten te stuwen. Dat gebeurt door links en teksten te plaatsen die alleen zichtbaar zijn voor zoekmachines.
[related_article id=”161920″]
Webservers die met CryptoPHP zijn besmet, gedragen zich als een botnet. Ze maken verbinding met command-and-control-servers die door de hackers wordt bediend en wachten dan op commando’s.
Controle overnemen
Samen met instanties van de Nederlandse overheid, Abuse.ch, de Shadowserver Foundation en Spamhaus, slaagde FoxIT erin om de controle over die servers over te nemen en te kijken hoeveel IP-adressen er verbinding mee maakten. Dat bleken er meer dan 23.000 te zijn. Het aantal geïnfecteerde websites ligt waarschijnlijk nog een stuk hoger, want sommige IP-adressen zijn van servers waarop meer dan één site draait.
De meeste besmettingen deden zich voor in de VS (8.567 IP-adressen), daarna volgden Duitsland (2.877), Frankrijk (1.231), Nederland (1.008) en Turkije (749). Ook België is getroffen, maar daarover geeft FoxIT geen aparte cijfers.
Verwijderen
Ondertussen zouden de hackers al een nieuwe variant van de backdoor hebben klaargestoomd, waarschijnlijk om de detectie te bemoeilijken.
FoxIT heeft een tool uitgebracht waarmee webmasters hun servers op CryptoPHP kunnen scannen. Het is ook mogelijk om de malware met de hand te verwijderen, maar volgens de Nederlanders is het het veiligst om het systeem compleet opnieuw te herinstalleren.