Malware Darkleech wykorzystuje zainfekowane serwery Apache
-
- 08.07.2013, godz. 12:06
W internecie atakuje nowy typ złośliwego oprogramowania. Atak następuje poprzez zainfekowane serwery Apache i blokuje on dostęp do komputera użytkownika. To wykorzystujące Malware żąda uiszczenia 300 dolarów opłaty w zamian za uwolnienie danych.
Oprogramowanie, które infekuje komputer użytkownika i żąda od niego zapłaty za oddanie dostępu do danych nazywane jest ransomware. Opisywany przypadek jest tak naprawdę kontynuacją długofalowego ataku skierowanego na infrastrukturę sieciową firm hostingowych. Używany jest do tego złośliwy moduł Apache o nazwie Darkleech.
Sprawa została obszernie skomentowana przez Sebastiana Duquette. Jest on pracownikiem badającym problem malware w firmie ESET, która zajmuje się bezpieczeństwem w sieci. Specjalista twierdzi na firmowym blogu, że modyfikacje plików binarnych serwera to obecnie bardzo popularny sposób dystrybucji złośliwego oprogramowania.
Zobacz również:
- Co trzecia firma w Polsce z cyberincydentem
- Z jakimi zagrożeniami borykał się Android w 2023 roku?
- Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
Firma ESET podejrzewa, że atakujący mogli znaleźć sposób na zainfekowanie CPanelu i Pleska, czyli oprogramowania służącego firmom hostingowym do zarządzania swoją infrastrukturą i stronami. Sam Darkleech modyfikuje strony internetowe pracujące na serwerze Apache poprzez dodanie własnej ramki iframe, czym przekierowuje użytkownika na własną stronę, która zawiera exploit Blackhole. Firma ESET wykryła aż 270 stron internetowych zarażonych w ten sposób w zeszłym tygodniu.
Samo otwarcie strony z exploitem Blackhole nie musi od razu spowodować zablokowania komputera. Narażeni najbardziej są użytkownicy korzystający z nieaktualnych wersji przeglądarek, ale drogą wejścia do systemu mogą być też luki we wtyczkach Javy lub w Adobe Readerze. W razie gdy exploit się powiedzie, na komputerze użytkownika instalowany jest szkodliwe pliki.
Właśnie jeden z tak zainstalowanych programów o nazwie Nymaim blokuje dostęp do komputera i wyświetla monit o potrzebie dokonania wpłaty. Komunikaty mogą być różne, często bazują na lokalizacji użytkownika - np. w Stanach użytkownicy widzą fałszywe ostrzeżenie podpisane przez FBI. I chociaż exploit Blackhole nie jest wcale nowy, to i tak atakujący odnoszą spore sukcesy, a malware zbiera swoje żniwo.
Autorzy
Piotr Grabiec Computerworld
Rocznik '88, student Politechniki Warszawskiej i początkujący bloger. Entuzjasta ery post-PC, web 2.0 i Social Media, a przy tym trochę geekowaty fan Androida i Gwiezdnych Wojen. Prywatnie prowadzi bloga www.pgkrzywy.pl. Od września 2009 współpracuje z magazynem rowerowym Bike Action. W dorobku ma kilka tematów okładkowych oraz zajmuje się administracją portalu. W lutym 2011 zaangażował się w prowadzenie www.isgr.pl, serwisu skupiającego pasjonatów ekstremalnego kolarstwa. Od czerwca 2011 rozpoczął współpracę z IDG.pl (International Data Group), gdzie publikuje swoje teksty.
Kontakt: Piotr Grabiec
