ESET e Sucuri descobrem Linux / Cdorked.A

eset Comunicado de imprensa

Os pesquisadores da ESET, em colaboração com seus colegas da empresa de segurança da Web Sucuri, analisaram uma nova ameaça aos servidores da web Apache, os servidores da web mais conhecidos e mais difundidos do mundo. Esse Ă© um backdoor extremamente avançado e perigoso que introduz conteĂșdo malicioso em sites hospedados em um servidor infectado usando pacotes “Blackhole exploit”. Os pesquisadores deram ao backdoor o nome Linux / Cdorked.A e consideram <
>

que Ă© o backdoor mais complexo jĂĄ atacado no Apache.

AtĂ© o momento, os pesquisadores da ESET identificaram centenas de servidores de ataque graças Ă  tecnologia ESET LiveGridÂź. O Backdoor Linux / Cdorked.A nĂŁo deixa rastros no disco rĂ­gido, exceto por um arquivo “httpd” modificado, o programa de rotina usado pelo Apache. Todas as informaçÔes relacionadas ao backdoor sĂŁo armazenadas na memĂłria compartilhada do servidor, o que dificulta a detecção e impede a anĂĄlise “, observa Pierre-Marc Bureau, gerente do programa ESET Security Intelligence.

Ao mesmo tempo, o Linux / Cdorked.A estĂĄ tomando outras medidas para reduzir as chances de ser detectado, tanto no nĂ­vel do servidor da Web comprometido quanto nos navegadores da Web dos visitantes do computador. “As indicaçÔes de backdoor sĂŁo enviadas usando solicitaçÔes HTTP, que nĂŁo sĂŁo apenas vagas, mas nĂŁo sĂŁo registradas pelo Apache, reduzindo assim a probabilidade de detecção por ferramentas de vigilĂąncia convencionais. As indicaçÔes sĂŁo armazenadas na memĂłria; portanto, nenhuma informação de comando e controle Ă© visĂ­vel para o backdoor, dificultando a anĂĄlise de ameaças ”, acrescenta Righard Zwienenberg, pesquisador sĂȘnior.

O kit de exploração do Blackhole Ă© um pacote popular e amplo que usa exploraçÔes novas e mais antigas para obter o controle do sistema ao visitar um site que foi comprometido e infectado pelo kit do Blackhole. Quando alguĂ©m visita um servidor da Web comprometido, ele nĂŁo redireciona apenas para um site malicioso – um cookie da Web foi ativado no navegador para que o backdoor nĂŁo os envie de volta pela segunda vez. O cookie da web nĂŁo estĂĄ nas pĂĄginas do administrador: o backdoor verifica o campo “referrer” do visitante e, se for redirecionado para o site por um URL com palavras-chave especĂ­ficas, como “admin” ou “cpanel”, nĂŁo hĂĄ risco de conteĂșdo malicioso.

A ESET recomenda que os gerentes verifiquem os servidores para ver se eles foram infectados por esta ameaça. Uma ferramenta de detecção gratuita, instruçÔes detalhadas sobre como controlar adequadamente o backdoor e uma anĂĄlise tĂ©cnica completa do Linux / Cdorked.A estĂŁo disponĂ­veis no WeLiveSecurity.com – a nova plataforma ESET com as informaçÔes e anĂĄlises mais recentes sobre ameaças cibernĂ©ticas e dicas Ășteis de segurança – Postagem no blog Linux / Cdorked.

Para obter mais informaçÔes sobre Linux / Cdorked.A, visite também o blog da Sucuri.