CryptoPHP rappresenta una vera e propria minaccia su larga scala per siti realizzati con Joomla, WordPress o Drupal (i più diffusi CMS oggi in circolazione). Ciò che lo rende così pericoloso, è il fatto che il codice malevolo viene installato più o meno volontariamente dall’amministratore stesso del sito: le backdoor sono infatti incluse in temi e plugin non licenziati scaricabili gratuitamente da fonti non ufficiali. Installando questi temi e plugin sul proprio sito, si permette al fornitore degli stessi di sfruttare le backdoor per diventare amministratore del sito.
Solitamente l’obiettivo di chi sfrutta le backdoor di CryptoPHP è quello di modificare i contenuti dei siti infettati per alterarli agli occhi dei crawler dei motori di ricerca. Lo scopo finale è così quello di manipolare le SERP dei motori di ricerca: un metodo conosciuto come Blackhat SEO spam. Queste tecniche sono chiaramente illegali e punite dai principali motori di ricerca tramite il blacklisting del sito e soprattutto tramite il blacklisting dell’indirizzo IP del server sul quale sono ospitati i siti infetti.
Ad oggi Abuse.ch ha predisposto un sinkhole che avrebbe intercettato e listato più di 25.000 connessioni uniche considerate pericolose. Ogni indirizzo IP listato corrisponde sicuramente ad almeno un sito infetto ma, considerando che solitamente gli hosting ospitano più di un sito web, il numero effettivo di siti infetti è sicuramente più alto ed ancora imprecisato. Il sinkhole è un server controllato direttamente da ricercatori o enti con l’obiettivo di sostituirsi ai sistemi di controllo dei blackhat in modo da contrastare i siti infetti.
Per prevenire infezioni sul proprio sito (o sul proprio server per gli ISP) da parte di CryptoPHP, basta solo un po’ di attenzione.
- Quando si sviluppa un sito da zero con un CMS, bisognerebbe utilizzare soltanto software licenziato.
- È di fondamentale importanza esaminare e verificare attentamente tutte le fonti di provenienza di temi e plugin.
- Verificare che web designer o web developer utilizzi prodotti ottenuti legalmente (un campanello d’allarme potrebbero essere dei preventivi un po’ troppo economici).
- Trovare CryptoPHP sul proprio server di hosting, significa che uno o più dei tuoi clienti stanno utilizzando software ottenuto illegalmente: un comportamento etico e legale abbastanza deprecabile.
Al 12 novembre 2014 FOX IT, la prima a scoprire la minaccia di CryptoPHP, aveva identificato migliaia di plugin e di temi infetti per un totale di 16 versioni diverse di CryptoPHP circolanti in rete. La prima versione sembra essere comparsa il 25 settembre 2013, l’ultima di cui si ha notizia è la 1.0a rilasciata il 12 novembre 2014.