A nossa investigação em torno do Linux/Cdorked.A continua. Desde a nossa descoberta inicial sobre esta backdoor muito avançada que tem como principal objectivo desviar o tráfego para sites maliciosos, fizemos novas descobertas muito interessantes:

backdoor-binary

Observámos que mais de 400 servidores web se encontram infectados com o Linux/Cdorked.A, sendo que 50 destes se encontram na lista de sites mais populares do Alexa.

A backdoor foi aplicada a outros daemons nos servidores web. Graças às informações que nos foram enviadas por administradores de sistemas com servidores comprometidos, conseguimos analizar binários Lighttpd e nginx comprometidos, para além dos binários Apache já documentados.

De acordo com os dados fornecidos pelo nosso sistema de telemetria, esta operação está activa desde Dezembro de 2012.

image009A ameaça Linux/Cdorked.A tem mais capacidades de passar despercebida do que se julgava. Ao analisar a forma de como os atacantes estão a configurar a backdoor, descobrimos que não redirecciona os utilizadores para websites com conteúdos maliciosos se o endereço IP da vítima estiver numa extensa lista negra, nem se o idioma do browser estiver definido para japonês, filandês, ucraniano, cazaque ou bielorrusso.

O nosso sistema de telemetria indica que cerca de 100,000 utilizadores de soluções ESET, foram redireccionados para sites infectados através do malware Linux/Cdorked.A, embora não tenham sido infectados devido à protecção disponibilizada pelo nosso sistema antivírus.

Em algumas configurações, tivemos oportunidade de verificar, que alguns redireccionamentos estavam configurados especificamente para utilizadores Apple, nomeadamente com iPhone ou iPad.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*