Os criminosos por trás do backdoor Linux/Cdorked.A, estão direcionando seus seus esforços afim de atingir servidores Web com lighttpd e NGINX, além dos servidores Apache httpd já comprometidos, em uma descoberta feita pelos especialistas em segurança da ESET. Cdorked transforma servidores web em máquinas de malware, enviando vários de seus visitantes para páginas maliciosas utilizadas pelos kits de exploits como o Blackhole.

Com base em seus dados de telemetria, os especialistas em vírus dizem ter encontrado o rootkit em mais de 400 servidores e cerca de 100 mil usuários de antivírus ESET foram redirecionados para páginas maliciosas. Entretanto, o Cdorked não ataca todos os visitantes. ESET encontrou uma lista negra em um servidor hackeado que excluiu cerca de cinquenta por cento de todos os endereços IPv4 redirecionados. Os usuários que têm o idioma do seu navegador como finlandês, japonês, cazaque, russo, ucraniano e bielorrusso foram também aparentemente poupados.

O processo de redirecionamento também é diferente para usuários de iOS da Apple. Eles são redirecionados para uma página com propagandas de pornografia na tentativa de, pelo menos, fazer algum dinheiro com eles – um kit exploit convencional não vai fazer mal nenhum a um dispositivo iOS.

O arquivo de configuração para o backdoor é armazenado em um segmento de memória compartilhada na memória do sistema – ESET lançou uma ferramenta que pode ser usado para ler o arquivo, se o servidor estiver infectado. No entanto, ainda não está claro como Cdorked se comporta nos servidores. Os pesquisadores da ESET acreditam que não há nenhum fator comum nas vias de infecção. O software Cpanel, que no início, acreditou ser um vetor comum foi descartada, uma vez que só está presente em uma minoria de máquinas infectadas. Eles suspeitam que cada servidor está comprometido numa base ad hoc.

Com informações de The H Online.