Darkleech, el malware que ha infectado 20.000 páginas web en dos semanas
Darkleech es un malware diseñado para servidores web Apache 2.2.2 que infecta páginas web y redirecciona a sus visitantes a otros sites.
Se calcula que Darkleech ha infectado a unas 20.000 páginas web es sólo unas pocas semanas. La cifra se basa en las casi 2.000 infecciones descubiertas por Cisco. Los expertos explican que asumiendo que un servidor web típico aloje unos 10 sites, pueda haber un total de 20.000 sites afectados, aunque lo cierto es que la cifra total es desconocida.
El proceso de infección empieza cuando un atacante accede a la raíz de los servidores, aunque por el momento se sigue investigando en cómo consigue hacerlo, y no se descarta desde el descifrado de contraseñas, ingeniería social, o ataques que se aprovechan de fallos desconocidos en aplicaciones de uso frecuente y sistemas operativos.
Pero una vez que se consigue acceder, el servidor ya está infectado con un malware que permite a los ciberdelincuentes atacarlo remotamente y configurar módulos Apache maliciosos. Uno de estos módulos es Darkleech, explica Mary Landesman, de Cisco.
Una vez realizada la infección, el malware, que hará un esfuerzo considerable para no ser descubierto, infectará a los visitantes de la web. “Debido a que los iframes son dinámicamente inyectados sólo cuando se accede a las páginas, la detección es particularmente difícil”, explica Landesman.
Para Mary Ledesman, a los propietarios de los sitios web les será extremadamente difícil detectar o limpiar el site comprometido. La mayoría no tendrán acceso a nivel de raíz del servidor web, de forma que si sospechan algo, tendrán que convencer a los proveedores de alojamiento de que estudien el caso. Incluso si el proveedor de alojamiento es sensible a las demandas del propietario de la web, “los módulos maliciosos de Apache y de puerta trasera SSHD asociada, pueden ser difíciles de desentrañas, y el método exacto varía dependiendo de la configuración del servidor”, explica Cisco en el blog.
El resultado es una infección del servidor web que es difícil de detectar y posiblemente difícil de eliminar. De forma que son los usuarios finales los que deben redoblar sus esfuerzos para permanecer a salvo contra estas amenazas.