Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/04/2013
El número podria ser molt major, ja que la campanya en qüestió porta activa des d’agost de 2012. De moment, cap expert ha sigut capaç d’identificar la vulnerabilitat de què s’aprofiten els seus autors per a controlar equips basats en Apache.
Entre les possibilitats que es remenen per al vector d’atac es troben errors en Plesk, en CPanel o potser en un altre programari utilitzat per a administrar llocs web. Tampoc es descarten tècniques d’enginyeria social, el desxifrat de contrasenyes i bugs desconeguts en aplicacions i sistemes operatius d’ús freqüent.
El que està clar és que, una vegada que troba la forma d’entrar en el sistema, Darkleech injecta codi "invisible" en pàgines web i al mateix temps obri una connexió que exposa els visitants a llocs maliciosos de tercers, tal com explica Ars Technica.
D’altra banda, el programari maliciós està habilitat per a determinar quins llocs ha d’infectar i quins no. Per exemple, descarta automàticament les adreces IP pertanyents a firmes d’hostatge i seguretat, així com les de persones que han sigut atacades recentment o que no naveguen per pàgines a partir de determinades cerques.
El problema ara mateix és que, com no s’ha aconseguit determinar la forma en què Darkleech es cola en els equips, és impossible oferir solucions de protecció efectives.