ESET identifica malware voltado a servidores web Apache e que já afetou
centenas de sites
O Trojan Linux/Cdorked.A é considerado pelos especialistas como o mais
sofisticado que já foi encontrado até hoje
A ESET, fornecedora de soluções de segurança da informação, e a Sucuri, empresa de segurança de websites, detectaram uma nova ameaça que afeta servidores web Apache – os mais conhecidos e utilizados no mundo. O Linux/ Cdorked.A é um código malicioso do tipo backdoor, que tem como objetivo direcionar os usuários para sites maliciosos alojados em servidores que contêm o kit de *exploit Blackhole*.
Os especialistas consideram que trata-se da mais sofisticada ameaça desse tipo já identificada. O Sistema de alerta ESET LiveGrid detectou que centenas de sites estão comprometidos. “Uma das características desse backdoor é a dificuldade de identificá-lo. Isso porque, o Linux/Cdorked.A só deixa como rastro um arquivo ‘httpd’ modificado no disco rígido.
Enquanto toda a informação sobre esse código malicioso fica armazenada na memória compartilhada do servidor”, explica Camillo Di Jorge, Country Manager da ESET Brasil.
Além disso, esse backdoor segue outros passos para evitar sua detecção, tanto no servidor comprometido quanto nos navegadores dos computadores que o acessaram. “O cibercriminoso envia uma configuração do backdoor usando solicitações HTTP que são ofuscadas e não registradas pelo Apache, reduzindo a probabilidade de detectá-lo com ferramentas de monitoramento convencionais. A configuração é armazenada na memória, o que significa que a informação de comando e controle de uma ameaça não é visível”, complementa Righard Zwienenberg, Pesquisador Sênior da ESET.
O popular kit *exploit Blackhole* se aproveita de novas vulnerabilidades * zero-day* para assumir o controle do sistema quando o usuário visita um site comprometido pela ameaça. O acesso a um servidor web infectado não implica simplesmente no redirecionamento a um site malicioso: um cookie é implantado no navegador, fazendo com que o backdoor não volte a direcionar o usuário para o mesmo local.
Além disso, para não afetar um administrador de sistema, o backdoor comprova as referências do usuário. Se ele é redirecionado de uma URL que contenha determinadas palavras-chave, como ‘admin’ ou ‘cpanel’, o Trojan não o redireciona para conteúdos maliciosos.
A ESET recomenda que, para evitar esse tipo de problema, os administradores de sistemas chequem seus servidores e verifiquem se estão infectados pela ameaça.
*Sobre a ESET*
Fundada em 1992, a ESET é uma fornecedora global de soluções de segurança
que provê proteção de última geração contra ameaças virtuais. A empresa
está sediada na cidade de Bratislava (Eslováquia), com centros de
distribuição regionais em San Diego (Estados Unidos), Buenos Aires
(Argentina) e Singapura, e com escritórios em São Paulo (Brasil), Cidade do
México (México), Praga (República Chega) e Jena (Alemanha). A ESET conta
ainda com Centros de Pesquisa em nove países e uma ampla rede de parceiros
em mais de 180 localidades.
Desde 2004, a ESET opera na América Latina, a partir de Buenos Aires, onde
conta com uma equipe de profissionais capacitados a responder às demandas
do mercado local de forma rápida e eficiente, a partir de um Laboratório de
Pesquisa focado na investigação e descoberta proativa de várias ameaças
virtuais.
Além de seu produto mais conhecido, o ESET NOD32 Antivírus, desde 2007, a
ESET oferece o ESET Smart Security, uma solução unificada que utiliza a
multipremiada proteção proativa. As soluções ESET oferecem aos clientes
corporativos o maior retorno sobre investimento (ROI) da indústria, ao
garantir uma alta taxa de produtividade, velocidade de exploração e um uso
mínimo de recursos.