Malware-ul ascuns pe serverele web continua sa se raspandeasca

[Syckchet]

Eset a descoperit un program malware care vizeaza serverele Apache si care afecteaza, de asemenea, serverele web Lighttpd si Nginx

Un program software rau intentionat ascuns preia controlul asupra unora dintre cele mai populare servere web, iar cercetatorii nu cunosc inca cauza.

Saptamana trecuta, companiile de securitate Eset si Sucuri au descoperit servere Apache infectate cu Linux/Cdorked. Daca malware-ul se executa pe un server web, victimele sunt redirectionate catre un alt website, care incearca sa compromita computerele acestora.

Marti, Eset a declarat ca a descoperit versiuni ale Linux/Cdorked concepute pentru serverele web Lighttpd si Nginx, ambele utilizate pe scara larga pe internet.

Potrivit sustinerilor lui Marc-Etienne M. Leveille, din cadrul Eset, compania a descoperit 400 de servere web infectate pana in prezent, dintre care 50 sunt clasate de catre firma de analiza Alexa in top 100.000 de site-uri.

"Inca nu stim sigur modul in care software-ul rau intentionat a ajuns pe serverele web", a scris Leveille, mentionand ca "Un lucru este clar, si anume ca malware-ul nu se propaga de la sine si nu exploateaza o vulnerabilitate intr-un software specific".

Linux/Cdorked este activ cel putin din luna decembrie a anului trecut. Acesta redirectioneaza vizitatorii catre alte site-uri web compromise ce gazduiesc kit-ul de exploatare Blackhole, un program rau intentionat care testeaza computerele pentru a identifica vulnerabilitatile software.

Redirectionarea este realizata doar pe computerele care utilizeaza Internet Explorer sau Firefox pe sistemele de operare Microsoft XP, Vista sau 7, a explicat Leveille. Persoanele care utilizeaza iPad-uri sau iPhone-uri nu sunt directionate catre kit-ul de exploatare, ci catre site-uri cu continut pornografic.

Modelul numelor de domenii spre care utilizatorii sunt redirectionati sugereaza ca atacatorii au compromis si unele servere DNS (Domain Name System), a scris Leveille, precizand ca malware-ul nu va folosi atacul in situatia in care persoana in cauza se afla pe anumite domenii IP ori daca "limba browserului internet al victimei este setata pe japoneza, finlandeza, rusa, ucraineana, belarusa sau cea a statului Kazahstan".

"Credem ca operatorii care se afla in spatele acestei campanii malware depun eforturi semnificative pentru a impiedica monitorizarea. Pentru acestia, a nu fi detectati pare a fi prioritar infectarii unui numar cat mai mare de victime".

Linux/Cdorked este ascuns, insa nu imposibil de detectat. Acesta lasa un binar httpd modificat pe hard drive, care poate fi detectat. Insa, comenzile trimise de catre atacatori catre Linux/Cdorked, nu sunt inregistrate in jurnalele normale Apache, iar redirectionarea se executa doar in memorie, nu si pe hard drive, a scris Eset saptamana trecuta.

Source