Il malvagio malware dei server Web si diffonde ulteriormente

Un programma software dannoso furtivo sta prendendo piede in alcuni dei server Web più popolari, e i ricercatori non sanno ancora perché.

La scorsa settimana, le società di sicurezza Eset e Sucuri hanno trovato server Apache infetti da Linux / Cdorked. Se quel malware è in esecuzione su un server Web, le vittime vengono reindirizzate su un altro sito Web che tenta di compromettere il loro computer.

Eset ha detto oggi che ha trovato versioni di Linux / Cdorked progettate per i server Web Lighttpd e Nginx, entrambi ampiamente utilizzato su Internet.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Marc-Etienne M. Leveille di Eset ha scritto che l'azienda ha rilevato finora 400 server Web infetti, di cui 50 classificati nella società di analisi dei dati Web di Alexa i primi 100.000 siti Web.

"Ancora non sappiamo con certezza in che modo questo software dannoso è stato distribuito sui server web", ha scritto Leveille. "Una cosa è chiara, questo malware non si propaga da solo e non sfrutta una vulnerabilità in un software specifico."

Linux / Cdorked è attivo da almeno dicembre. Reindirizza i visitatori a un altro sito Web compromesso che ospita il kit di exploit Blackhole, che è un programma dannoso che verifica i computer per le vulnerabilità del software.

Il reindirizzamento viene servito solo ai computer che utilizzano Internet Explorer o Firefox sui sistemi operativi Microsoft XP, Vista o 7, Leveille ha scritto. Le persone che usano un iPad o un iPhone non sono dirette al kit di exploit, ma piuttosto a siti di pornografia.

Lo schema dei nomi di dominio in cui le persone vengono reindirizzate suggerisce che gli hacker hanno anche compromesso alcuni server DNS (Domain Name System), ha scritto Leveille.

Il malware non offrirà l'attacco se una persona si trova in determinati intervalli IP o se "la lingua del browser Internet della vittima è impostata su giapponese, finlandese, russo e ucraino, kazako o bielorusso", ha scritto Leveille.

"Riteniamo che gli operatori alla base di questa campagna di malware stiano compiendo sforzi significativi per mantenere le operazioni sotto controllo e ostacolare il più possibile gli sforzi di monitoraggio", ha scritto Leveille. "Per loro, non essere rilevati sembra essere una priorità per infettare quante più vittime possibili."

Linux / Cdorked è furtivo ma non è impossibile da rilevare. Lascia un binario httpd modificato sul disco rigido, che può essere rilevato.

I comandi inviati dagli hacker a Linux / Cdorked non vengono registrati nei normali log di Apache e il reindirizzamento, che invia le persone a un sito Web dannoso. Eseguito solo in memoria e non sul disco rigido, Eset ha scritto la scorsa settimana.