Вредоносное ПО распространялось через пиратские темы и плагины. Более 23 000 web-сайтов подверглись инфицированию бэкдором CryptoPHP, который был встроен в пиратские темы и плагины для популярных систем управления контентом. CryptoPHP – это вредоносный сценарий, позволяющий удаленное выполнение кода на web-серверах и внедрение вредоносного контента в web-сайты, размещенные на этих серверах.

По информации компании Fox-IT, бэкдор используется главным образом для незаконной поисковой оптимизации, цель которой — за счет внедрения подложных ключевых слов и страниц в скомпрометированные сайты ухудшить положение этих сайтов в поисковой выдаче и повысить популярность web-ресурсов с противозаконным контентом.

В отличие от большинства бэкдоров, внедрение CryptoPHP происходит без эксплуатации уязвимостей. Хакеры распространяют пиратские версии коммерческих плагинов и тем со встроенным CryptoPHP для Joomla, WordPress и Drupal и ожидают, пока администраторы web-сайтов установят их. Инфицированные бэкдором web-сайты действуют как ботнет: через зашифрованный канал связи они связываются с C&C-серверами, которые находятся под контролем злоумышленников, и выполняют удаленные команды.

Эксперты из Fox-IT выпустили две версии сценария Python , которые можно использовать для сканирования сайтов и сайтов на предмет наличия CryptoPHP, а также инструкцию по удалению вредоноса. Вместе с тем эксперты считают, что для полного устранения проблемы необходимо переустановить систему управления контентом.