Códigos maliciosos usam a capacidade de filtro do servidor para transformar módulo em plataforma de malware
Invasores online gostam de explorar servidores de rede porque podem adicionar scripts rapidamente e automaticamente inserir links maliciosos em páginas estáticas HTML por meio de um iFrame, ou por um código que explore os PCs que visitam o site.
Mas um ataque descoberto na sexta-feira (29/04) – apelidado de Apmod – leva este tipo de ameaça a outro nível. Cathal Mullaney, engenheiro de resposta de segurança da Symantec, afirmou, em comunicado oficial, que “quando um servidor de rede é infectado desta maneira, todo usuário que entra na página da rede é uma potencial vítima. É o oposto dos casos em que páginas de rede estática são infectadas com código malicioso, onde somente páginas específicas colocam o usuário em risco de infecção”.
Este novo ataque – que não parece ser muito comum – tem como alvo o popular Apache Web Server, que é executado em Windows e Linux. O servidor de rede é usado para hospedar cerca de 204 milhões de sites, segundo a Netcraft.
Saiba mais sobre gestão de segurança. Visite o espaço de Gilberto Mota, blogueiro do IT Web.
O ataque é inovador por usar a capacidade de filtro embutida no Apache. Segundo o servidor, o “filtro é um processo que é aplicado aos dados que são enviados ou recebidos”, e pode ser usado para adicionar funcionalidade sem reescrever o código-base. Muitos sites usam este recurso para adicionar anúncios em páginas da rede, além de acompanhar a entrega de publicidade para gerar receita.
“Todas as ações realizadas pelo módulo estão usando códigos legítimos fornecidos pelo Apache API, especialmente para a geração de conteúdo on-the-fly. Isso não é uma exploração ou falha do código de base da Apache; o módulo usa uma funcionalidade inerente ao servidor para infectar usuários e redirecioná-los para uma página de rede maliciosa.”
Antidetecção
Curiosamente, o módulo não tenta infectar todas as páginas da rede. Na verdade, ele inclui uma série de capacidades antidetecção, incluindo a observação de sinais de acesso de administrador ou de processos e evita malwares no mecanismo de pesquisa. Além disso, quando ele executa uma página infectada com links para sites maliciosos, o módulo deixa o endereço IP temporariamente em uma lista negra, para evitar a entrega de múltiplas páginas infectadas, o que facilitaria a detecção.
A boa notícia é que para instalar o módulo, o invasor precisa de acesso de nível de administrador. “Se um invasor ganhou o nível de controle necessário para instalar o módulo no seu servidor de rede, há grandes chances que você tenha problemas muito maiores para se preocupar”, afirmou.
Atualizado às 17h19.
(Tradução: Alba Milena | Revisão: Thaís Sabatini)
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
