Ayer tuvimos conocimiento de que la firma de seguridad holandesa Fox-IT reveló un nuevo documento fechado el 20 de noviembre de 2014, donde se daba a conocer un malware tipo backdoor llamado "CryptoPHP", que afecta a sitios Wordpress, Joomla! y Drupal. Los incidentes datan de mayo de este mismo año, y lo que parecía un exploit típico por un fallo de seguridad en una extensión, no fue así. Descubierta la peculiaridad del backdoor, el número de afectados es probable que sea muy alto.

La manera de instalar este malware es mediante la descarga de extensiones piratas -extensiones supuestamente iguales a las oficiales pero sin costo-. Los principales afectados son administradores y webmasters que no han querido pagar por el software legal de las páginas oficiales, haciendo que la descarga e instalación de este software en webs productivas derive en la instalación de una puerta trasera que abre el control de los CMS a ciberataques.

Cualquier plugin o plantilla de versiones piratas de software legal, es susceptible de incorporar este malware.

Los problemas no sólo se reducen a perder el control de la web. Este malware crea SEO ilegal, lo que se conoce como Black Hat SEO, y los sitios webs podrían ser fuertemente penalizados por los buscadores tipo Google.

Los sitios webs piratas desde donde se podían descargar este software ilegal llegan a 20 en total, y que pertenecen a una misma red, son:

  • anythingforwp.com
  • awesome4wp.com
  • bestnulledscripts.com
  • dailynulled.com
  • freeforwp.com
  • freemiumscripts.com
  • getnulledscripts.com
  • izplace.com
  • mightywordpress.com
  • nulledirectory.com
  • nulledlistings.com
  • nullednet.com
  • nulledstylez.com
  • nulledwp.com
  • nullit.net
  • topnulledownload.com
  • websitesdesignaff
  • ordable.com
  • nulled.com
  • yoctotemplates.com

Si cualquier otra web ha publicado estos plugins de pago extraídos de alguna de estas webs, el número de webs puede ser aún mayor.

La primera versión de CryptoPHP es la 0.1, encontrada el 25 de septiembre de 2013. La última es la 1.0a del 12 de noviembre de 2014.

 

Nota: Queremos recordar que esto es sólo un poco de lo que las descargas ilegales pueden contener; y que la seguridad es lo primero que se pierde cuando se adquiere este tipo de software.