Pharma Hack

Recientemente llegó a nuestras manos una incidencia de un sitio Web el cual había sido infectado con malware. Este malware, conocido como «Pharma Hack«, hacía que el sitio saliera referido como una Web de productos farmacéuticos sin serlo. Pero en absoluto tenía nada que ver con artículos de farmacia.

Incluso si buscabas en Google algo referente sobre ese sitio salían entre los resultados palabras relacionadas con “Prozac”, “Viagra” y similares.

busqueda

Esto es debido a que el sitio había sido comprometido por un malware teniendo como objetivo el «Pharma Hack» una técnica algo desconocida para los ciudadanos de a pie, pero comúnmente conocida en nuestro ámbito de la Seguridad Informática, llamada CLOAKING.

Según la Wikipedia el CLOAKING consiste en:

“Esta técnica consiste en mostrar contenido diferente al usuario y al bot que rastrea el sitio web, con el objetivo de manipular lo que éste indexa. El «cloaking» es una técnica penalizada por los motores de búsqueda de la web. Algunos buscadores, como Google, ofrecen la posibilidad a los usuarios de denunciar cualquier web que haga uso de dichas técnicas. Otros trucos fraudulentos que se utilizan para mejorar el posicionamiento de las páginas, son las páginas doorway, el texto oculto, las páginas duplicadas, enlaces ocultos, el spam en weblogs y libros de firmas, el abuso de palabras clave y la compra y venta de enlaces.”

viagra

Primeramente el sitio Web del que estamos hablando poseía al menos 3 CMS activos, es decir, tenía Joomla, WordPress y Prestashop no operativos pero se podía acceder:

  • WordPress desactualizado incluidos plugins en el mismo estado.
  • Joomla desactualizado incluido FKCEDITOR desactualizado sensible a SQL      Injection.
  • Prestashop desactualizado.

El sitio se había programado desde cero sin usar estos CMS, pero repetimos, totalmente accesibles poniendo la ruta correspondiente. El medio por el que se atacó fue FKCEDITOR, un plugin que tiene el sitio activo y del que pocas actualizaciones se han hecho (por no decir ninguna). A partir de ahí se inyectó código y el malware campó a sus anchas.

 sucuri

Un simple análisis en una Web especializada en realizar este tipo de análisis y ya vemos cosas curiosas, como “Known Spam detected” o “buy generic viagra”. Para alarmarse.

Por ello se accede al sitio Web, y vamos directamente al archivo «.htaccess» a ver qué contiene. Juzguen por ustedes mismos.

htaccess 

Este código en resumidas cuentas, hace referencia a un fichero “common.php”  que al localizarlo encontramos código ofuscado. Raro raro. Veámoslo.

 common

Aunque no entendiéramos el fragmento de código que aparece, es ya muy extraño que “.htaccess” haga referencias a un fichero php que contenga código ofuscado y encima, tras desofuscarlo, nos tire tantas líneas de código.

Por ello, se hace una copia del fichero y se elimina del FTP. Posteriormente añadimos una configuración personalizada por nosotros al “.htaccess”.

La búsqueda continua. Se localiza ciertos ficheros que dan mucho que pensar:

/prestashop/img/m/m.php

/UserFiles/File/s99.jpg

/UserFiles/File/s99.htm

/UserFiles/File/ bzibzi_php.pjpg

/UserFiles/File/blackgak.html

Un simple análisis de código a “blackgak.html” dispara las alarmas.

 black

Bueno, ya tenemos pruebas de que alguien ha estado “jugando” con la Web.  Incluso pide disculpas.

Ahora es el turno de “m.php”. Lo analizamos en Virus Total y nos muestra lo siguiente.

 virustotal

Vaya, un php que “Virus Total” nos dice que es un “Backdoor” o puerta trasera. Esto va de mal en peor. Mejor vamos a ver su código.

 m

Decir que este fichero “m.php” contiene en sus primeras líneas código que no sirve para nada literalmente, pero que en sus líneas finales encontramos lo mostrado en la captura que no es ni más ni menos que una puerta trasera.

Se procede con el fichero bzibzi_php.pjpg  camuflado como un archivo con extensión parecida a JPG (Formato de imagen) pero llamado “.pjpg” . Contiene una llamada a una función ofuscada de características dañinas. Seguimos con las sorpresas.

Ahora toca el turno a “s99.jpg” y “s99.htm”. Como hemos estado descargando los ficheros a nuestro equipo, con estos ficheros no iban a ser menos. Pero al descargarse nuestro querido y admirado AVIRA FREE ANTIVIRUS nos alerta.

 

 s991 s99

 

 

 

 

Advertidos ya, desactivamos el antivirus para evitar que nos lo borre y podamos husmear en su código.

 vn

Pues… blanco y en botella. Hasta utiliza login de entrada. Como curiosidad “Vnhack.net” es un sitio Vietnamita de hackers. El usuario y contraseña es “vbfgroup” que está cifrada en MD5 pero que hemos podido desencriptar.

Este código contiene líneas para acceder al ftp dependiendo en que sistemas esté (Windows, Unix, etc..) también para utilizar fuerza bruta, a la base de datos a través de una Shell (Consola) de control incrustada en el código.

shell ¿Alguien duda que este sitio está hackeado?

Como podéis observar el sitio ha sido comprometido totalmente. Las causas son la mala programación sin tener en cuenta aspectos de seguridad básicos. RIPS al analizar el sitio “offline” (descargado a nuestros equipos) nos mostraba 95 “Warnings” de SQL Injection. Esto sumado a que tenía accesibles CMS desactualizados con plugins desactualizados hizo de este sitio, un portal muy goloso.

Un saludo.

@ManoloGaritmo