El malware de Stealthy Web Server se propaga aún más

Un sigiloso programa de software malicioso se está afianzando en algunos de los servidores web más populares, y los investigadores aún no saben por qué.

La semana pasada, las compañías de seguridad Eset y Sucuri encontraron servidores Apache infectados con Linux / Cdorked. Si ese malware se ejecuta en un servidor web, las víctimas son redireccionadas a otro sitio web que intenta comprometer su computadora.

Eset dijo el martes que ahora ha encontrado versiones de Linux / Cdorked diseñadas para los servidores web Lighttpd y Nginx, ambos ampliamente usado en Internet.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Marc-Etienne M. Leveille de Eset escribió que la compañía ha encontrado 400 servidores web infectados hasta ahora, de los cuales 50 están clasificados en los principales sitios web de la compañía de análisis web Alexa 100.000.

"Todavía no sabemos con certeza cómo se implementó este software malicioso en los servidores web", escribió Leveille. "Una cosa es clara, este malware no se propaga por sí mismo y no explota una vulnerabilidad en un software específico".

Linux / Cdorked ha estado activo desde al menos diciembre. Redirige a los visitantes a otro sitio web comprometido que aloja el Blackhole Exploit Kit, que es un programa malicioso que prueba las vulnerabilidades del software de las computadoras.

El redireccionamiento solo se aplica a las computadoras que usan Internet Explorer o Firefox en los sistemas operativos XP, Vista o 7 de Microsoft. Leveille escribió. Las personas que usan un iPad o iPhone no están dirigidas al kit de explotación, sino a sitios de pornografía. El patrón de los nombres de dominio donde se redirige a las personas sugiere que los atacantes también han comprometido algunos servidores de DNS (Sistema de nombres de dominio), escribió Leveille.

El malware tampoco servirá para el ataque si una persona está en determinados rangos de IP o si "el idioma del navegador de la víctima está configurado en japonés, finlandés, ruso y ucraniano, kazajo o bielorruso", escribió Leveille.

"Creemos que los operadores detrás de esta campaña de malware están haciendo esfuerzos significativos para mantener su operación bajo el radar y para obstaculizar los esfuerzos de monitoreo tanto como sea posible", escribió Leveille. "Para ellos, no ser detectados parece ser una prioridad sobre infectar a tantas víctimas como sea posible".

Linux / Cdorked es sigiloso pero no es imposible de detectar. Deja un binario httpd modificado en el disco duro, que se puede detectar.

Pero los comandos enviados por los atacantes a Linux / Cdorked no se registran en los registros de Apache normales, y el redireccionamiento, que envía a las personas a un sitio web malicioso. se ejecuta solo en la memoria y no en el disco duro, escribió Eset la semana pasada.