Identificado como Linux/Cdorked.A, o código malicioso é um backdoor, que tem como objetivo direcionar os usuários para sites maliciosos alojados em servidores que contêm o kit de exploit Blackhole. O Sistema de alerta ESET LiveGrid detectou que centenas de sites estão comprometidos.
Para os especialistas da ESET, trata-se da mais sofisticada ameaça desse tipo já identificada. “Uma das características desse backdoor é a dificuldade de identificá-lo”, afirma Camillo Di Jorge, country manager da ESET Brasil. “Isso porque o Linux/Cdorked.A só deixa como rastro um arquivo ‘httpd’ modificado no disco rígido enquanto toda a informação sobre esse código malicioso fica armazenada na memória compartilhada do servidor”, explica.
O malware também usa outras artimanhas para evitar a sua detecção tanto no servidor comprometido quanto nos navegadores dos computadores que o acessam. "O cibercriminoso envia uma configuração do backdoor usando solicitações HTTP que são ofuscadas e não registradas pelo Apache, reduzindo a probabilidade de detectá-lo com ferramentas de monitoramento convencionais”, diz Righard Zwienenberg, pesquisador sênior da ESET. “A configuração é armazenada na memória, o que significa que a informação de comando e controle da ameaça não é visível”, complementa.
O kit exploit Blackhole faz uso de vulnerabilidades zero-day para assumir o controle do sistema quando o usuário visita um site comprometido pela ameaça. Além disso, para não afetar um administrador de sistema, o backdoor comprova as referências do usuário. Se ele é redirecionado de uma URL que contenha determinadas palavras-chave, como ‘admin’ ou ‘cpanel’, o Trojan não o redireciona para conteúdos maliciosos.
A ESET recomenda que, para evitar esse tipo de problema, os administradores de sistemas chequem seus servidores e verifiquem se estão infectados pela ameaça.
