20 000 сайта по света са заразени от Darkleech

Атаката Darkleech порази над 20 000 сайта по целия свят

Атаката Darkleech порази над 20 000 сайта по целия свят

Около 20 000 легитимни уеб сайта, използващи Apache HTTP сървърен софтуер, са атакувани и превзети от хакери в рамките на кампанията “Darkleech”. Тези сайтове сега са подчинени на кибер престъпници, за да атакуват потребителите със зловреден код.

Засегнати са сайтове, които използват Apache 2.2.2 и по-нови версии на сървърния софтуер. „Задна вратичка” (SSHD backdoor) позволява на атакуващите отдалечено да заредят и конфигурират зловредни Apache модули, алармира екипът за сигурност TRAC на Cisco. Въпросните модули превръщат легитимните сайтове в атакуващи сайтове, които заразяват потребителските компютри със зловредни iFrames в реално време, при посещаване на сайта.

Кампанията Darkleech е широкомащабна и е засегнала сайтове по целия свят – от Кипър, през Дания, до Тайланд. В периода от началото на февруари до средата на март над половината (58%) от сървърите, използвани за атаката, са били разположени в САЩ, 10% – във Великобритания, 9% – в Германия и 3% в Канада.

Различни атакуващи модули, идентифицирани от Sophos като част от Darkleech, използват JavaScript, за да инжектират зловредни iFrames и да пренасочат посетителите на заразените сайтове към криминален Blackhole. Потребителите не могат да видят iFrame атаката, която разчита на зловреден скрипт, вграден в уеб страницата, който се свързва със сайт на кибер престъпниците и зарежда допълнителен софтуер.

Подобни iFrame атаки за най-често срещаната заплаха при уеб сайтовете в последните седмици, с дял от около 30% от всички открити заплахи, твърди Sophos. По данни на изследователската кампания Netcraft за април, сървърният софтуер Apache се използва от половината от всички сайтове в света.

Darkleech не е първата мащабна iFrame атака срещу Apache сървъри, но комбинацията от техника за атакуване в реално време и достъпът на хакерите до „root” ниво на компрометираните сървъри прави елиминирането й много трудно, коментират специалистите от Cisco.

В допълнение, атакуващите използват сложни техники, за да избегнат oткриването на заплахата. Освен това атаката е ограничена само до Windows системи и потребители, които влизат в сайтовете от търсачки. Накрая, атаката преглежда „бисквитките”, за да разбере дали потребителят е отдавнашен посетител на даден сайт – ако не е такъв, целта се поставя в списък на чакащите за по-късно атакуване.

Атакуващите обаче имат разпознаваем подпис. Специалистите по сигурност от Cisco са разработили търсещ скрипт, който може да идентифицира част от тях. Благодарение на тази техника, са открити компрометирани от Darkleech сайтове, хоствани в Албъкърки, Ню Мексико от компанията Oso Grande Technologies.

Администраторите на сайтове, засегнати от Darkleech, трябва да координират действията си със своя хостинг доставчик. Отстраняването на заразата изисква „root” достъп до сървърите, което обикновено не е в компетенциите на клиентите на хостинг компанията.

Коментар