Os pesquisadores apelidaram o malware como Mayhem, um modular de malware desagradável que inclui uma série de payloads para causar coisas e metas maliciosos para infectar somente as máquinas que não são atualizados com patches de segurança ou menos propensos a correr software de segurança.
Até agora, os pesquisadores descobriram mais de 1.400 servidores Linux e FreeBSD ao redor do mundo que têm comprometido pelo malware. A maioria das máquinas comprometidas estão localizados nos EUA, Rússia, Alemanha e Canadá.
Três especialistas em segurança, Andrej Kovalev, Konstantin Ostrashkevich e Evgeny Sidorov, que trabalham no portal Internet-based Rússia Yandex, descobriu o malware visando * nix servidores. Eles foram capazes de detectar as transmissões a partir dos computadores infectadas para os dois servidores de comando e controlo (C & C).
"No mundo nix o *, as tecnologias de atualização automática não são amplamente utilizados, especialmente em comparação com desktops e smartphones. A grande maioria dos mestres da web e administradores de sistemas tem que atualizar o software manualmente e teste que sua infra-estrutura funciona corretamente", escreveu o trio em um relatório técnico para Virus Bulletin.
"Para sites comuns, manutenção sério é muito caro e muitas vezes webmasters não tem a oportunidade de fazê-lo. Isto significa que é fácil para hackers encontrar servidores web vulneráveis e usar esses servidores em suas botnets".
Os pesquisadores dizem que este novo tipo de malware pode trabalhar sob privilégios restritos nos sistemas , mantendo múltiplas funções em mente. O ataque malicioso é realizado através de um script PHP mais sofisticado, que tem uma taxa de detecção de baixo com os antivírus disponíveis.
A Comunicação do sistema é estabelecida com os servidores de comando e controle, que podem enviar as instruções de malware diferentes. Como mencionamos acima, que Mayhem é um sistema modular, as suas funções pode ser expandida através de plugins e, no momento cerca de oito plugins foram descobertos, aqueles estão listados abaixo:
rfiscan.so - Encontre sites que contêm um arquivo de inclusão remota (RFI) vulnerabilidade
wpenum.so - Enumerar usuários de sites WordPress
cmsurls.so - Identificar páginas de login de usuário em sites com base no WordPress CMS
bruteforce.so - senhas força bruta para sites com base em WordPress e Joomla CMS
ftpbrute.so - Força bruta em contas de FTP
crawlerng.so - páginas web de rastreamento (por URL) e extrair informação útil
crawlerip.so - páginas web de rastreamento (por IP) e extrair informação útil
Em caso de rfiscan.so, o malware se espalha por encontrar servidores hospedagem de sites com um arquivo de inclusão remota (RFI) vulnerabilidade que ele verifica usando 'http://www.google.com/humans.txt' file. Se a resposta HTTP contém as palavras "nós podemos Shake ', então o plugin decide que o site tem uma vulnerabilidade de inclusão de arquivos remotos.
Uma vez que o malware explora uma RFI, ou qualquer outra fraqueza mencionado acima, e se instalado, ele irá executar um script PHP em uma vítima. O script PHP mata todos os processos ‘/usr/bin/host’, verifique se a arquitetura do sistema e sistema operacional (seja Linux ou FreeBSD), e depois deixa cair um objeto malicioso identificado como 'libworker.so'.
Enquanto isso, o script PHP também define uma variável chamada 'AU', que inclui a URL completa do script que está sendo executado. Ele também executa o shell script que é então que está sendo executado.
O malware, então, cria um sistema de arquivo oculto, conhecido como sd0, e downloads de todos os acima de oito plugins, nenhum dos quais foram detectados pela ferramenta de verificação de malware VirusTotal.
Mayhem foi detectado pela primeira vez em abril de 2014, e de acordo com o trio, é uma continuação da campanha de força bruta "Fort Disco", que foi descoberto pela Arbor Networks em 2013.
Os pesquisadores Yandex alertou as pessoas que pode haver mais plugins em circulação, com base em informações que descobriu sobre os dois servidores de comando e controle detectados, incluindo um que explora especificamente os sistemas que não foram corrigidas a vulnerabilidade Heartbleed crítico no OpenSSL.
Fonte: TheHackerNews
Até agora, os pesquisadores descobriram mais de 1.400 servidores Linux e FreeBSD ao redor do mundo que têm comprometido pelo malware. A maioria das máquinas comprometidas estão localizados nos EUA, Rússia, Alemanha e Canadá.
Três especialistas em segurança, Andrej Kovalev, Konstantin Ostrashkevich e Evgeny Sidorov, que trabalham no portal Internet-based Rússia Yandex, descobriu o malware visando * nix servidores. Eles foram capazes de detectar as transmissões a partir dos computadores infectadas para os dois servidores de comando e controlo (C & C).
"No mundo nix o *, as tecnologias de atualização automática não são amplamente utilizados, especialmente em comparação com desktops e smartphones. A grande maioria dos mestres da web e administradores de sistemas tem que atualizar o software manualmente e teste que sua infra-estrutura funciona corretamente", escreveu o trio em um relatório técnico para Virus Bulletin.
"Para sites comuns, manutenção sério é muito caro e muitas vezes webmasters não tem a oportunidade de fazê-lo. Isto significa que é fácil para hackers encontrar servidores web vulneráveis e usar esses servidores em suas botnets".
Os pesquisadores dizem que este novo tipo de malware pode trabalhar sob privilégios restritos nos sistemas , mantendo múltiplas funções em mente. O ataque malicioso é realizado através de um script PHP mais sofisticado, que tem uma taxa de detecção de baixo com os antivírus disponíveis.
A Comunicação do sistema é estabelecida com os servidores de comando e controle, que podem enviar as instruções de malware diferentes. Como mencionamos acima, que Mayhem é um sistema modular, as suas funções pode ser expandida através de plugins e, no momento cerca de oito plugins foram descobertos, aqueles estão listados abaixo:
rfiscan.so - Encontre sites que contêm um arquivo de inclusão remota (RFI) vulnerabilidade
wpenum.so - Enumerar usuários de sites WordPress
cmsurls.so - Identificar páginas de login de usuário em sites com base no WordPress CMS
bruteforce.so - senhas força bruta para sites com base em WordPress e Joomla CMS
ftpbrute.so - Força bruta em contas de FTP
crawlerng.so - páginas web de rastreamento (por URL) e extrair informação útil
crawlerip.so - páginas web de rastreamento (por IP) e extrair informação útil
Em caso de rfiscan.so, o malware se espalha por encontrar servidores hospedagem de sites com um arquivo de inclusão remota (RFI) vulnerabilidade que ele verifica usando 'http://www.google.com/humans.txt' file. Se a resposta HTTP contém as palavras "nós podemos Shake ', então o plugin decide que o site tem uma vulnerabilidade de inclusão de arquivos remotos.
Uma vez que o malware explora uma RFI, ou qualquer outra fraqueza mencionado acima, e se instalado, ele irá executar um script PHP em uma vítima. O script PHP mata todos os processos ‘/usr/bin/host’, verifique se a arquitetura do sistema e sistema operacional (seja Linux ou FreeBSD), e depois deixa cair um objeto malicioso identificado como 'libworker.so'.
Enquanto isso, o script PHP também define uma variável chamada 'AU', que inclui a URL completa do script que está sendo executado. Ele também executa o shell script que é então que está sendo executado.
O malware, então, cria um sistema de arquivo oculto, conhecido como sd0, e downloads de todos os acima de oito plugins, nenhum dos quais foram detectados pela ferramenta de verificação de malware VirusTotal.
Mayhem foi detectado pela primeira vez em abril de 2014, e de acordo com o trio, é uma continuação da campanha de força bruta "Fort Disco", que foi descoberto pela Arbor Networks em 2013.
Os pesquisadores Yandex alertou as pessoas que pode haver mais plugins em circulação, com base em informações que descobriu sobre os dois servidores de comando e controle detectados, incluindo um que explora especificamente os sistemas que não foram corrigidas a vulnerabilidade Heartbleed crítico no OpenSSL.
Fonte: TheHackerNews