Este artigo aborda uma ameaça denominada “Home Campaign” e que consiste numa campanha de malware que utiliza uma variante modificada do Darkleech para encaminhar visitantes para o Blackhole exploit kit.
Aqui estão alguns factos interessantes acerca da mesma:
- Está a decorrer deste Fevereiro de 2011
- Utiliza servidores CPanel ou Plesk comprometidos para a rotação de endereços
- Mais de 40.000 domínios e IP foram utilizados em algum ponto da rotação
- 15.000 dos acima referidos estavam activos em simultâneo em Maio de 2013
A “Home Campaign”
Esta campanha de malware já recebeu cobertura por parte de diversos meios de informação, como o Ars Technica, Sucuri e Cisco Web security blog e foi analisada por vários investigadores de segurança, nomeadamente pelo notável Hendrik Adrian (nome de código unixfreaxjp) e que descreveu alguns detalhes importantes acerca desta ameaça no seu blog, em Março.
Vamos começar por uma descrição geral da campanha: – a Imagem 1 revela o modo como se processa a infecção de um computador. Primeiro, um módulo Apache malicioso denominado Darkleech é instalado num servidor web comprometido. O Darkleech é vendido em fóruns blackhat sendo que o nome de detecção que lhe demos foi Linux/Chapro. Quando um utilizador visita qualquer site alojado num servidor comprometido, um iFRAME é adicionado numa das páginas que servirá para carregar o URL malicioso. Este URL é reconhecido pelo padrão q.php. Exemplo: hxxp://129.121.xx.xxx/9bd5113b9edfc221e46f6983ab334927/q.php). Os dados que a ESET dispõe e que foram obtidos por telemetria informa que na última semana, pelo menos 270 sites, estavam a redireccionar visitantes.
O conteúdo retornado pela página é totalmente gerado pelo Blackhole exploit kit que tenta explorar as vulnerabilidades no browser e plugins instalados, como o Java ou o Adobe Reader. Se esta tarefa for executada com sucesso, então múltiplos componentes de malware são descarregados e instalados no computador, incluindo o Pony Loader,Nymaim e Sirefef.
Aquando da infecção, muitos utilizadores acabam por ter o seu computador bloqueado pelo Nymaim e recebem a informação que terão de pagar uma taxa de valor x, para que o seu computador seja desbloqueado. É um esquema fraudulento mais conhecido por ransomware. O tema da mensagem varia de país para país. A imagem seguinte revela um desses falsos avisos.
Esta campanha tem neste momento uma elevada duração. Os nossos dados revelam que o Blackhole já está activo há mais de 2 anos, desde Fevereiro de 2011. Nessa altura os URL maliciosos utilizavam o padrão /Home/ (exemplo: hxxp://64.247.xxx.xxx/Home/index.php), facto pelo qual chamámos a esta campanha Home. Em Outubro de 2012, este padrão foi alterado para q.php. A configuração mais comum do módulo Darkleech que detectámos nos servidores continua a apontar para /Home/index.php.
Os paineis CPanel/Plesk comprometidos e as modificações
O investigador de segurança, Kafeine, frisou que em Setembro de 2012, cerca de 2.000 endereços IP estavam a “servir” o kit de exploits Blackhole. Esta situação tem vindo a agravar-se significativamente. O nosso sistema de telemetria revela que até agora já foram usados mais de 40.000 endereços IP e domínios diferentes. Em Maio, 15.000 desses endereços IP e domínios serviam o Blackhole ao mesmo tempo. Algumas redes estavam particularmente afectadas. A imagem seguinte mostra que mais de 5.000 endereços IP na rede 129.121.0.0/16 foram utilizados por esta campanha.
Como conseguiram os cibercriminosos exercer controlo sob tantos endereços IP e domínios? Comprometendo os paineis de controlo CPanel e Plesk utilizados por centenas de empresas de alojamento para gerirem a sua rede e na grande maioria dos casos controlarem milhares de websites. Uma versão modificada do Darkleech foi instalada nestes servidores, sendo que esta variante contém um sistema que permite gerir pedidos dirigidos ao kit de exploits Blackhole.
O sistema utiliza um algoritmo de encriptação diferente daquele encontrado no Darkleech. Quando é chamado, começa por desencriptar quatro linhas diferentes. Uma chave é calculada baseando-se no campo Host do pedido HTTP. Se esta chave for encontrada no URL pedido, o sistema continua a processá-lo. Caso contrário o processo é executado normalmente pelo servidor Apache.
O campo User-Agent no pedido é também inspeccionado e rejeita pedidos que não contenham MSIE ou Java.
Finalmente o pedido é modificado para ser enviado por proxy ao servidor linuxkernelup.com utilizando o mod_proxy. O header X-HOSTNAME-MD5 é adicionado ao pedido.
A próxima imagem revela como é o pedido final que é enviado para o servidor Blackhole.
Até ao momento ainda não se sabe como o acesso aos servidores é inicialmente obtido. Pode ser através de palavras-passe roubadas já que o troiano Pony Loader utiliza código para roubar credenciais para protocolos como FTP e HTTP.
Conclusão
Esta campanha de malware tem muitas semelhanças com a campanha CDorked. Isto significa que as modificações maliciosas de binários dos servidores estão cada vez mais na moda, para a distribuição de malware, sendo que por este motivo todo o cuidado é pouco.
