Novos dados sobre a backdoor Linux/Cdorked.A

A nossa investigação em torno do Linux/Cdorked.A continua. Desde a nossa descoberta inicial sobre esta backdoor muito avançada que tem como principal objectivo desviar o tráfego para sites maliciosos, fizemos novas descobertas muito interessantes:

Observámos que mais de 400 servidores web se encontram infectados com o Linux/Cdorked.A, sendo que 50 destes se encontram na lista de sites mais populares do Alexa.

A backdoor foi aplicada a outros daemons nos servidores web. Graças às informações que nos foram enviadas por administradores de sistemas com servidores comprometidos, conseguimos analizar binários Lighttpd e nginx comprometidos, para além dos binários Apache já documentados.

De acordo com os dados fornecidos pelo nosso sistema de telemetria, esta operação está activa desde Dezembro de 2012.

A ameaça Linux/Cdorked.A tem mais capacidades de passar despercebida do que se julgava. Ao analisar a forma de como os atacantes estão a configurar a backdoor, descobrimos que não redirecciona os utilizadores para websites com conteúdos maliciosos se o endereço IP da vítima estiver numa extensa lista negra, nem se o idioma do browser estiver definido para japonês, filandês, ucraniano, cazaque ou bielorrusso.

O nosso sistema de telemetria indica que cerca de 100,000 utilizadores de soluções ESET, foram redireccionados para sites infectados através do malware Linux/Cdorked.A, embora não tenham sido infectados devido à protecção disponibilizada pelo nosso sistema antivírus.

Em algumas configurações, tivemos oportunidade de verificar, que alguns redireccionamentos estavam configurados especificamente para utilizadores Apple, nomeadamente com iPhone ou iPad.