I ricercatori di Eset identificano una nuova campagna spargi-malware indirizzata contro i server basati su piattaforma Apache, un attacco che ha come obiettivo – o come uno dei suoi obiettivi – la distribuzione di ransomware sui PC dei client non adeguatamente protetti.
Darkleech, questo il nome del nuovo attacco, ha molte similitudini con quello recentemente attribuito a Linux/Cdorked.A – il misterioso malware classificato come la backdoor per Apache più complessa di sempre : il vettore dell’attacco è un binario del demone Apache modificato, demone che a sua volta carica un iframe malevolo nelle pagine web ospitate sul server.
L’iframe redirige la connessione del visitatore del sito su una URL compromessa per distribuire l’exploit kit Blackhole, così da testare il browser dell’utente e sfruttare eventuali vulnerabilità individuate per disseminare ulteriori genie di codice malevolo sul PC del client.
Durante la scorsa settimana Eset ha identificato 270 diversi siti web modificati per spargere il kit Blackhole, e uno dei malware veicolati dal kit è il ransomware Nymaim, che blocca l’accesso al computer e mette l’utente di fronte a un vero e proprio ricatto: per ritornare in possesso del proprio sistema occorre il pagamento di una certa somma di denaro.
Stando ai dati forniti da Eset, gli attacchi progettati per sfruttare il kit Blackhole sono al momento particolarmente popolari con 40mila indirizzi IP unici sin qui “arruolati” in questo genere di pratiche, 15mila dei quali attivi contemporaneamente nel solo mese di maggio.
Alfonso Maruccia
Ti potrebbe interessare
5 lug 2013