Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/04/2013
Darkleech, la misteriosa campanya de malware que afecta servidors Apache
Almenys 20.000 pàgines d’Internet han sigut infectades durant les últimes setmanes per un nou, sofisticat i misteriós programari maliciós batejat com Darkleech, que es propaga a través d’un dels servidors web més populars que hi haa hores d’ara: Apache.
El número podria ser molt major, ja que la campanya en qüestió porta activa des d’agost de 2012. De moment, cap expert ha sigut capaç d’identificar la vulnerabilitat de què s’aprofiten els seus autors per a controlar equips basats en Apache.
Entre les possibilitats que es remenen per al vector d’atac es troben errors en Plesk, en CPanel o potser en un altre programari utilitzat per a administrar llocs web. Tampoc es descarten tècniques d’enginyeria social, el desxifrat de contrasenyes i bugs desconeguts en aplicacions i sistemes operatius d’ús freqüent.
El que està clar és que, una vegada que troba la forma d’entrar en el sistema, Darkleech injecta codi "invisible" en pàgines web i al mateix temps obri una connexió que exposa els visitants a llocs maliciosos de tercers, tal com explica Ars Technica.
D’altra banda, el programari maliciós està habilitat per a determinar quins llocs ha d’infectar i quins no. Per exemple, descarta automàticament les adreces IP pertanyents a firmes d’hostatge i seguretat, així com les de persones que han sigut atacades recentment o que no naveguen per pàgines a partir de determinades cerques.
El problema ara mateix és que, com no s’ha aconseguit determinar la forma en què Darkleech es cola en els equips, és impossible oferir solucions de protecció efectives.