A nossa investigação em torno do Linux/Cdorked.A continua. Desde a nossa descoberta inicial sobre esta backdoor muito avançada que tem como principal objectivo desviar o tráfego para sites maliciosos, fizemos novas descobertas muito interessantes:
Observámos que mais de 400 servidores web se encontram infectados com o Linux/Cdorked.A, sendo que 50 destes se encontram na lista de sites mais populares do Alexa.
A backdoor foi aplicada a outros daemons nos servidores web. Graças às informações que nos foram enviadas por administradores de sistemas com servidores comprometidos, conseguimos analizar binários Lighttpd e nginx comprometidos, para além dos binários Apache já documentados.
De acordo com os dados fornecidos pelo nosso sistema de telemetria, esta operação está activa desde Dezembro de 2012.
A ameaça Linux/Cdorked.A tem mais capacidades de passar despercebida do que se julgava. Ao analisar a forma de como os atacantes estão a configurar a backdoor, descobrimos que não redirecciona os utilizadores para websites com conteúdos maliciosos se o endereço IP da vítima estiver numa extensa lista negra, nem se o idioma do browser estiver definido para japonês, filandês, ucraniano, cazaque ou bielorrusso.
O nosso sistema de telemetria indica que cerca de 100,000 utilizadores de soluções ESET, foram redireccionados para sites infectados através do malware Linux/Cdorked.A, embora não tenham sido infectados devido à protecção disponibilizada pelo nosso sistema antivírus.
Em algumas configurações, tivemos oportunidade de verificar, que alguns redireccionamentos estavam configurados especificamente para utilizadores Apple, nomeadamente com iPhone ou iPad.