Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/11/2014
Connectors (plugins) i themes amb porta posterior són utilitzats en campanyes de Black Hat SEO
Quan es descarrega un programa piratejat es corre el risc d’acabar infectant la computadora sense saber-ho, perquè és normal que vinguen acompanyats de regals indesitjats. Quelcom semblant ocorre a nivell web amb els denominats Nulled Scripts, estos són aplicacions, themes i connectors modificats (piratejats) que no inclouen les limitacions o llicències dels autors originals, per la qual cosa es poden utilitzar de forma gratuïta.
Generalment els administradors de webs (webmasters) que els utilitzen saben que poden vindre amb enllaços ocults, presentar alguna vulnerabilitat o generar algun tipus de problema. Però encara així són molt populars. L’empresa de seguretat Fox-IT ha publicat un informe en PDF amb els resultats d’una investigació que realitzen des de fa algun temps. Es van trobar amb milers de themes i connectors modificats per a WordPress, Joomla i Drupal que són utilitzats en campanyes de Black Hat SEO.
Tot va començar amb l’anàlisi d’un servidor que presentava un tràfic sospitós, es van descartar algunes de les possibles raons i es va descobrir ràpidament que era per un connector de Joomla que l’administrador del lloc havia instal·lat recentment.
El connector venia amb una porta posterior i no s’havia descarregat des de la seua font original, sinó des d’un lloc de tercers que oferia (i oferix perquè encara està en línia) gratuïtament tot tipus de themes i connectors modificats (nulled).
El lloc només és un dels molts semblants que van trobar, tots ells oferint themes i connectors infectats. La llista completa es troba en el document PDF de Fox-IT.
A mesura que van avançar amb la investigació van descobrir algunes coses interessants, per exemple el programari que utilitzen com a porta posterior es pot actualitzar remotament o de forma automàtica. A més compten amb una gran quantitat de servidors per a controlar els llocs infectats i les comunicacions entre ells es realitzen de forma xifrada.
Encara que podrien utilitzar els llocs per a propagar programari maliciós i inclús infectar els visitants de forma automàtica, l’ús que els estan donant és el Black Hat SEO. La porta posterior que utilitzen els permet injectar text i enllaços de forma oculta amb una tècnica denominada cloaking o encobriment, açò és, mostrar als visitants del lloc el contingut normal i un altre diferent ple d’enllaços i text brossa als buscadors segons l’User-Agent i/o Hostname que utilitzen.
D’esta manera aconseguixen passar desapercebuts per més temps ja que l’administrador del lloc en analitzar el codi font no detecta res estrany, només pot veure el contingut brossa quan observa el lloc com si fóra un buscador (canviant per exemple el seu user-agent).
Es pot veure l’article complet, amb una anàlisi més detallada del problema en el blog de spamloco.