CryptoPHP est un malware que la société de sécurité Fox-IT vient dévoiler dans un livre blanc. Ce malware qui s'en prend aux sites web sous CMS Drupal, Joomla! et WordPress a pour originalité de ne pas profiter d'une vulnérabilité de ceux-ci pour s'y installer.

Après tout, pourquoi se fatiguer, quand il est plus simple de demander aux webmaster de l'installer eux-mêmes sur leurs propres sites ? :-)

C'est toute l'idée de CryptoPHP qui vérole des applications payantes, thèmes ou plugins, mais dans ce cas proposées en téléchargement gratuit. C'est ainsi que CryptoPHP, selon Fox-It, infecterait au total plus de 23 000 sites, dont 1 000 en France.

Une fois installé, CryptoPHP, dont il existerait déjà au moins 16 variantes, est là et bien là. Il se met à jour automatiquement, et offre une backdoor aux cybercriminels qui le diffusent, et s'en servent, notamment, pour faire du  BHSEO (Black hat search engine optimization),.

CryptoPHP est très discret, c'est pourquoi, selon Fox-IT, de nombreux sites sont infectés, sans même le soupçonnerne serait-ce qu'un peu. Contrairement à d'autres malwares de ce genre, il n'est pas constitué de fichiers entiers de code PHP obfusqué, mais il se cache dans des fichiers vrais faux binaires de prétendues images, qui sont en fait, cette fois, du code PHP obfusqué.

Une simple petite ligne de code PHP dans le plugin ou le thème vérolé :

<?php include('images/social.png'); ?>

charge ceci, d'où le nom de CryptoPHP donné par Fox-IT à ce malware :

Amis webmaster, c'est sans doute une bonne une bonne idée de passer en revue les fichiers de vos sites avec une petite expression régulière dans le genre de include.*images.

Fox-IT propose également deux scripts Python pour vos aider à détecter l'éventuelle présence de CryptoPHP  sur vos sites.

Ces scripts peuvent être téléchargés sur Git Hub.