Decenas de miles de sitios web, algunos operados por The Angeles Times, Seagate y otras empresas de renombre, han estado siendo atacadas con un nuevo tipo de "misterioso" ataque bautizado como "Darkleech", un conjunto de herramientas de explotación que expone a los visitantes a ataques de malware.
El ataque en curso, que se estima ha infectado a 20.000 páginas web en las últimas semanas, son remarcables debido a su éxito sobre Apache, el servidor web más popular. Darkleech inyecta código en páginas web y a su vez subrepticiamente abre una conexión que expone a los visitantes a sitios web maliciosos de terceros. Aunque los ataques han estado activos desde agosto, nadie ha sido capaz de identificar positivamente la vulnerabilidad que los atacantes están utilizando para tomar los equipos basados en Apache. Vulnerabilidades en Plesk, CPanel, o cualquier otro software usado para administrar sitios web son una alternativa, pero los investigadores no descartan la posibilidad del descifrado de contraseñas, ingeniería social, o los ataques que se aprovechan de errores desconocidos en aplicaciones de uso frecuente.
El malware instalado en el servidor emplea un conjunto sofisticado de condiciones para determinar cuándo y cómo inyectar enlaces maliciosos en las páginas web que se muestra a los usuarios. Los visitantes que utilizan direcciones IP pertenecientes a empresas de seguridad y hosting son evitados. La capacidad de Darkleech para inyectar enlaces únicos sobre en tiempo real también obstaculiza la investigación sobre el conjunto de herramientas utilizadas.
"Teniendo en cuenta que estos enlaces se generan dinámicamente, no hay un medio viable para hacer una búsqueda", dijo Mary Landesman, investigador senior de seguridad de Cisco. "Desafortunadamente, la naturaleza de la transacción junto con los criterios condicionales sofisticadas presenta varios retos."
Landesman tomó una muestra aleatoria de 1.239 sitios web comprometidos y todos estaban ejecutando Apache 2.2.22 o superior, sobre una gran variedad de distribuciones de Linux. De acuerdo con publicaciones recientes en el blog de Securi, Darkleech utiliza módulos de Apache falsos (rogue) para inyectar cargas maliciosas en las páginas web de los sitios que infecta y así mantiene el control de los sistemas comprometidos. La desinfección de los servidores web pueden resultar extremadamente difícil, ya que el malware toma el control de SSH para evitar que los administradores retomen en control del sitio.
La inyección del iframe normalmente responde a la forma como "dirección IP/hex/q.php" y el malware se descarga desde "direccion IP/hex/hex/q.php". Expresiones regulares de este tipo estan siendo utilizados rastrear los posibles sitios vulnerados.
Cristian de la Redacción de Segu-Info
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!