CryptoPHP es una amenaza que utiliza plantillas y plugins no autentificados de Joomla, WordPress y Drupal para comprometer servidores web a gran escala.

CryptoPHP viene integrado en estos templates “gratuitos” de wordpress u otros CMS, por lo tanto se inserta inmediatamente en el servidor, provocando ciertos inconvenientes a sus usuarios aunque no tengan su sitio infectado.

Se ha determinado que el propósito del malware es, por ahora, participar en Black Hat SEO, en otras palabras utilizar técnicas ilegales de posicionamiento, mediante la inyección de enlaces a otros sitios web presumiblemente maliciosos, en tu contenido.  Sin embargo esta infección es sofisticada y se comunica con servidores de control y comando que pueden ordenar muchas tareas distintas, incluyendo la de autoactualizarse.

Esta es una clásica infección a través de botnet que transforma a todos los sitios web infectados en drones que pueden ser instruidos para hacer casi cualquier cosa, desde enviar spam, insertar enlaces para SEO, alojar contenido ilegal o realizar ataques a otros sitios web. Esto provoca además que el servidor desde donde se envía este tipo de información pueda ser incluido en listas negras, lo que puede provocar inconvenientes a clientes no infectados, pero que comparten el mismo servidor, por ejemplo en el envío de correos electrónicos.

CryptoPHP

El sistema CryptoPHP es una infección relativamente simple, dentro de un script intervenido hay una pequeña línea de código que se parece a esto:

<?php include(‘assets/images/social.png’); ?>

Si eres desarrollador de PHP reconocerás inmediatamente este aspecto diferente. Se trata de una directiva PHP para incluir un archivo externo que contenga código fuente de PHP, pero el archivo es en realidad una imagen. Dentro de este archivo de imagen, que realmente es un PHP, el código es ocultado a través de cifrado para tratar de disimular el hecho de que es malicioso.

Si tienes WordPress, instala el plugin de seguridad Wordfence y realiza los escaneos necesarios. Debes tener en cuenta que la configuración por defecto de Wordfence no analiza archivos de imagen para las infecciones. Hace un tiempo, se ha agregado una opción para escanear archivos de imagen como si fueran código PHP, sin embargo con esta opción Wordfence detectará la directiva “incluir” mencionada en la fuente PHP, por lo que incluso si no tiene activado el escaneo de imágenes, aun así deberías poder detectar todas las variantes conocidas de esta infección, siempre que se esté ejecutando la nueva versión de Wordfence.

Cómo te habrás dado cuenta, esta es una muestra de la importancia de utilizar plantillas y plugins auténticos y pagados. En Hostname, te mantendremos al tanto de cualquier información relativa a la reparación y solución de esta infección a quienes trabajan con Drupal y Joomla, la que hasta el momento no se ha publicado.

Si quieres tener mayor información sobre este tema puedes ingresar a:

http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/

http://www.wordfence.com/blog/2014/11/wordpress-security-nulled-scripts-cryptophp-infection/