Para todos los usuarios que no los conozcan, se trata de un sistema de foros totalmente gratuito utilizando el archiconocido lenguaje de programación PHP. Los usuarios que realizaron la descarga de contenidos en el día 26 es probable que hicieran la descarga de otro contenido y no del original. Ha trascendido que un hacker ha sido capaz de conseguir el acceso de administrador. Esto le ha permitido modificar algunos enlaces de descarga de phpBB.
Por suerte para los usuarios, solo la descarga de los paquetes phpBB 3.2.2 y el actualizador a esta versión se han visto comprometidas. Tal y como indican desde el software, el falso enlace de descarga solo estuvo disponible durante poco más de tres horas. Para ser más precisos, los enlaces publicados por los intrusos estuvieron disponibles desde las 12:00 hasta las 15:05, aproximadamente.
Hay que aplaudir el tiempo de respuesta del personal de phpBB. En otras situaciones, los enlaces han permanecido publicados durante incluso varios días. Lo que no ha trascendido aún es cómo los ciberdelincuentes consiguieron este acceso y llevaron a cabo la modificación de los enlaces de descarga. Los enlaces fueron editados tan pronto como fueron detectados.
Tal y como sucede en estos casos, el usuario realiza la descarga del contenido legítimo, de ahí que en un primer momento no se pueda sospechar en la mayoría de las ocasiones. Además del código original, siempre se suele añadir cierto código malware con alguna finalidad.
No es la primera vez que sucede y tampoco será la última. A lo largo de un año, en numerosas ocasiones hablamos de páginas web de servicios legítimos cuyo código se ha visto alterado. Los ciberdelincuentes escogen sobre todo software con cierta reputación. De esta forma, les resulta mucho más sencillo distribuir malware y que los usuarios no sospechen.
No existen detalles sobre el hackeo de la página de phpBB
Hay que decir que, con respecto a esta situación, por el momento se ha vertido muy poca información. Salvo la franja horaria en la que estuvo disponible el código con el añadido malware, poco más se ha conseguido saber. Es cierto que los expertos en seguridad ya han comenzado a atar cabos. Algunos creen que el añadido se trataba de un código que permitía el minado de criptomonedas. Es el presente para los ciberdelincuentes. Instalar un virus en un equipo aporta poco si lo comparamos con el minado de criptomonedas. Esto es así y continuará siendo.
Podría decirse que Coinhive con su script abrió la caja de pandora. En las últimas semanas, las incidencias malware más sonadas están relacionadas con el minado de criptomonedas.
Desde W3Techs han querido poner alguna cifra más sobre la mesa. Indican que, de todos los foros que existen en Internet, solo el 0,2% utiliza este software. Es decir, no se puede hablar de un gran número de sitios web afectados, porque ya de por sí la cifra total de sitios web que utilizan este módulo PHP es bastante baja.
Elmedia Player es un software disponible para macOS y su sitio web también fue hackeado, alterando los enlaces de descarga para que los usuarios descargasen malware en sus equipos: