Το κακόβουλο πρόγραμμα του διακομιστή Web εξαπλώνεται περαιτέρω

Ένα απότομο πρόγραμμα κακόβουλου λογισμικού λαμβάνει μέρος σε μερικούς από τους πιο δημοφιλείς διακομιστές Web και οι ερευνητές δεν γνωρίζουν γιατί.

Την περασμένη εβδομάδα οι εταιρείες ασφαλείας Eset και Sucuri βρήκαν διακομιστές Apache μολυσμένους με Linux / Cdorked. Εάν το κακόβουλο λογισμικό τρέχει σε ένα διακομιστή Web, τα θύματα ανακατευθύνονται σε έναν άλλο ιστότοπο που προσπαθεί να θέσει σε κίνδυνο τον υπολογιστή τους.

Η Eset δήλωσε την Τρίτη ότι τώρα έχει βρει εκδόσεις του Linux / Cdorked που έχουν κατασκευαστεί για τους διακομιστές Lighttpd και Nginx Web

Η Marc-Etienne M. Leveille του Eset έγραψε ότι η εταιρεία έχει βρει 400 μολυσμένους διακομιστές Web μέχρι τώρα, από τους οποίους οι 50 κατατάσσονται στην κορυφαία 100.000 ιστότοπων της εταιρείας Alexa για την ανάλυση ιστοσελίδων.

«Δεν γνωρίζουμε ακόμα με βεβαιότητα πώς αναπτύχθηκε αυτό το κακόβουλο λογισμικό στους διακομιστές ιστού», έγραψε ο Leveille. "Ένα πράγμα είναι σαφές, αυτό το κακόβουλο λογισμικό δεν διαδίδεται από μόνο του και δεν εκμεταλλεύεται μια ευπάθεια σε ένα συγκεκριμένο λογισμικό."

Το Linux / Cdorked είναι ενεργό από τουλάχιστον τον Δεκέμβριο. Ανακατευθύνει τους επισκέπτες σε έναν άλλο συμβιβασμό που φιλοξενεί το Blackhole exploit kit, το οποίο είναι ένα κακόβουλο πρόγραμμα που δοκιμάζει υπολογιστές για ευπάθειες λογισμικού.

Η ανακατεύθυνση προβάλλεται μόνο σε υπολογιστές που χρησιμοποιούν Internet Explorer ή Firefox στα λειτουργικά συστήματα XP, Vista ή 7 της Microsoft, Ο Leveille έγραψε. Οι χρήστες που χρησιμοποιούν iPad ή iPhone δεν κατευθύνονται στο κιτ εκμετάλλευσης, αλλά σε ιστότοπους πορνογραφίας.

Το μοτίβο των ονομάτων τομέα όπου ανακατευθύνονται τα άτομα υποδηλώνει ότι οι επιτιθέμενοι έχουν επίσης υπονομεύσει ορισμένους διακομιστές DNS (System Name System), έγραψε ο Leveille.

Το κακόβουλο λογισμικό επίσης δεν θα εξυπηρετήσει την επίθεση εάν ένα άτομο βρίσκεται σε συγκεκριμένες περιοχές IP ή εάν η γλώσσα του προγράμματος περιήγησης του Διαδικτύου είναι ορισμένη σε Ιαπωνικά, Φινλανδικά, Ρώσικα και Ουκρανικά, Καζακικά ή Λευκορωσικά », έγραψε ο Leveille

"Πιστεύουμε ότι οι φορείς εκμετάλλευσης που βρίσκονται πίσω από αυτή την κακόβουλη εκστρατεία καταβάλλουν σημαντικές προσπάθειες για να διατηρήσουν τη λειτουργία τους κάτω από το ραντάρ και να εμποδίσουν τις προσπάθειες παρακολούθησης όσο το δυνατόν περισσότερο", έγραψε ο Leveille. "Για αυτούς, η ανίχνευση δεν φαίνεται να αποτελεί προτεραιότητα έναντι της μόλυνσης όσο το δυνατόν περισσότερων θυμάτων."

Το Linux / Cdorked είναι μυστικό, αλλά δεν είναι αδύνατο να εντοπιστεί. Αφήνει ένα τροποποιημένο δυαδικό httpd στο σκληρό δίσκο, το οποίο μπορεί να ανιχνευθεί.

Ωστόσο, οι εντολές που στέλνουν οι εισβολείς στο Linux / Cdorked δεν καταγράφονται στα κανονικά αρχεία καταγραφής Apache και η ανακατεύθυνση, η οποία στέλνει τους ανθρώπους σε έναν κακόβουλο ιστότοπο, τρέχει μόνο στη μνήμη και όχι στο σκληρό δίσκο, όπως έγραψε ο Eset την περασμένη εβδομάδα.