Sicurezza

Darkleech: exploit Apache infetta siti con codice malevolo

Apache Exploit Darkleech
Condividi!

Apache Exploit DarkleechLo scorso aprile i ricercatori di Securi annunciarono la scoperta di una modulo Apache “canaglia”, Linux.Cdorked.A, utilizzato per alterare il comportamento del Server e aggiungere codice malevolo nei siti web così da diffondere virus. Fu definito il più complesso exploit Apache mai individuato!

Mesi prima, era dicembre 2012, furono gli esperti di sicurezza di Eset a scoprire la prima backdoor creata alterando i binari dei moduli di Apache che, anche in questo caso, mirava ad iniettare codice malevolo nelle pagine Web.

Sono passati pochi mesi e nuovamente Eset annuncia la scoperta di un nuovo exploit kit dei Server Apache dal nome Darkleech. Sebastien Duquette, ricercatore presso Eset, ha così commentato la diffusione di questo genere di malware:

“La modifica malevola dei binari del Server sembra essere una tendenza molto popolare per la distribuzione di malware. Questa campagna di infezioni va avanti da molto tempo. I nostri dati dimostranto che il kit BlackHole è attivo da più di 2 anni, già dal Febbraio 2011.”

Le similitudini con il precedente Linux.Cdorked.A sono tante ma questa volta lo scopo dell’attacco è diffondere un ransomware, ossia una categoria di malware che inibisce le funzionalità del Pc infetto fino che non viene pagato un riscatto in denaro. Avevamo analizzato recentemente un ransomware per Android che fingendosi un antivirus bloccava l’uso dello smartphone fino a che non si pagava un riscatto di circa 90 dollari.

L’attacco al Server avviene sfruttando un binario modificato di Apache che si va a sostituire a quello originale rendendo difficile il rilevamento del virus. Potendo alterare il comportamento del Web Server il ransomware provvede ad iniettare iframe malevoli nelle pagine del WebServer che a loro volta redirettano i visitatori verso siti che diffondono il malware BlackHole che, se riesce ad infettare il pc della vittima, sequestra il pc fino a che non si pagano 300 dollari di riscatto.

Nell’ultima settimana si contano circa 270 siti web compromessi con Darkleech mentre risultano essere 40mila, di cui 15 mila attivi contemporaneamente nel mese di maggio, gli ip infettati per diffondere il kit BlakHole.

Nonostante l’analisi dell’exploit Apache i ricercatori di sicurezza ancora non hanno idea di come riescano ad alterare i binari dei Server online. Sempre Duquette scrive:

“Al momento non sappiamo come viene ottenuto il primo accesso ai Server. Potrebbe essere semplicemente attraverso password rubate con il Pony Loader trojan che contiene codice per rubare le credenziali per i protocolli come FTP e HTTP.”

Un altro sospetto forte ricade invece sui due più diffusi Pannelli di Gestione Hosting come Plesk o cPanel. Il sospetto è che gli hacker abbiano trovato vulnerabilità non ancora note (0-day) che consentono loro di entrare sul Server e modificare i binari con l’exploit Apache senza che l’attività illecita venga rilevata.

Click to comment
To Top