I ricercatori di sicurezza hanno individuato una nuova minaccia contro il web server Apache, una backdoor capace di non solo di trasformare il sistema in un dispensatore di ulteriori infezioni (sui client) ma anche di non lasciare traccia di sé (almeno per quel che riguarda i file di codice binario) sulla macchina infetta.
Linux/Cdorked.A , questo il nome del malware scovato dagli esperti di ESET e Sucuri, viene descritto come “la più sofisticata backdoor per Apache mai vista”: il codice malevolo modifica il file httpd sul server (il “demone” di Apache per la gestione delle richieste su protocollo HTTP) e archivia le informazioni di configurazione nella memoria condivisa del server, ma a parte questo non c’è altra traccia del malware sul disco e la cosa rende l’analisi problematica.
La backdoor si premura di prendere ulteriori contromisure per evitare l’identificazione o la nascita di sospetti sia sul server che nel codice fornito al browser del client, mentre per quanto riguarda il payload Cdorked.A redirige i visitatori di un sito/server web infetto verso URL malevoli su cui è presente il ben noto exploit-kit Blackhole.
Il malware è sofisticato al punto da salvare un cookie sul browser dopo la prima redirezione per evitare dirottamenti successivi, e per le pagine amministrative (su server) contenenti stringhe sensibili come “admin” o “cpanel” non viene fornito alcun contenuto malevolo.
I ricercatori hanno preparato uno script in Python per verificare l’eventuale presenza della backdoor su server.
Alfonso Maruccia