image

Apache-malware verspreidt digitale bankrover

woensdag 19 december 2012, 10:27 door Redactie, 1 reacties

Onderzoekers hebben een kwaadaardige Apache-module ontdekt die malware op besmette webservers verspreidt. Apache is de populairste webserver en wordt voor het hosten van miljoenen websites gebruikt. Onlangs werd er ook al een rootkit ontdekt die Linux-webservers infecteerde, maar volgens het Slowaakse anti-virusbedrijf verschilt de nu ontdekte Apache-malware hiervan.

Zodra een webserver is gehackt en de module geplaatst, injecteert die kwaadaardige content op de gehoste websites. In het geval dat ESET analyseerde gaat het om iframes, maar ook het plaatsen van kwaadaardige JavaScript wordt niet uitgesloten. De geplaatste iframes misbruiken verschillende beveiligingslekken om bezoekers te infecteren.

Het gaat dan om twee Java-lekken van dit jaar, een IE-lek uit 2006 en een Adobe Reader-lek uit 2010. Gebruikers met bijgewerkte software lopen dan ook geen enkel risico. Is de software niet up-to-date, dan wordt er een variant van de Zeus banking Trojan geïnstalleerd. Software speciaal ontwikkelde om geld van online bankrekeningen te stelen. Deze variant zou het vooral op Europese en Russische banken hebben voorzien.

Detectie
Volgens ESET beschikt de Apache-module over allerlei eigenschappen om detectie door systeembeheerders te vermijden. Zo wordt er naar bepaalde user agents gezocht. Dit is informatie die de browser van een bezoeker naar de webserver stuurt. In het geval van webcrawlers wordt de besmette content niet getoond.

Ook inspecteert Chapro, zoals de malware wordt genoemd, alle actieve SSH-sessies op het systeem. Als een bezoeker een pagina opvraagt vanaf het zelfde IP-adres dat voor een SSH-verbinding wordt gebruikt, zal de besmette content niet worden getoond. Dit zou detectie door systeembeheerders en webmasters moeten voorkomen.

Tevens wordt er een lijst met IP-adressen bijgehouden die de kwaadaardige content al hebben gehad. Wordt een besmette pagina twee keer van hetzelfde IP-adres bezocht, dan zal de kwaadaardige content slechts een keer worden verstuurd.

ESET stelt dat het de module slechts één keer in het wild heeft aangetroffen, maar dat de webserver in kwestie door duizenden mensen is bezocht.

Reacties (1)
19-12-2012, 11:40 door Fabian76
Ik had een beetje een deja-vu. Maar dat klopt:
https://secure.security.nl/artikel/43901/Apache_module_maakt_hackers_langer_onzichtbaar_.html

De malware zelf was ook al enkele maanden bekend.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.