Malware infecteert grote hoeveelheid websites op Apache-servers

Mogelijk twintigduizend websites die gehost worden op Apache-servers zijn de afgelopen maanden geïnfecteerd met malware. De toolkit genaamd Darkleech is nog steeds actief en onderzoekers hebben moeite de exacte werking te achterhalen.

Dit meldt Ars Technica op basis van een rondgang bij verschillende beveiligingsexperts. De eerste meldingen van de malware dateren al van augustus vorig jaar en onder andere het blog van Seagate en de site van The Los Angeles Times werden getroffen. Na besmetting van de Apache-server wordt code in websites op de systemen geïnjecteerd. De browser van bezoekers van die websites, opent vervolgens heimelijk een verbinding met andere websites, die malware serveren.

Door de complexiteit van het programma is er echter nog steeds veel onduidelijk rondom Darkleech, onderzoekers weten bijvoorbeeld niet hoe de kwaadaardige software zich op servers nestelt. Het zou via kwetsbaarheden in Plesk of Cpanel kunnen gaan, maar ook wordt social engineering, het kraken van wachtwoorden of het uitbuiten van andere kwetsbaarheden niet uitgesloten. Onderzoekers van Cisco troffen bij een analyse de malware aan op meer dan tweeduizend webservers en schatten op basis daarvan, met de voorzichtige aanname dat zo’n server gemiddeld tien sites host, het totaal aantal geïnfecteerde sites op minstens twintigduizend.

Het onderzoek naar de malware wordt bemoeilijkt doordat niet makkelijk is vast te stellen hoeveel en welke sites er precies geïnfecteerd zijn. Darkleech serveert namelijk niet aan alle bezoekers kwaadaardige links. De malware lijkt ip-adressen te filteren en adressen afkomstig van hostingbedrijven en beveiligingsfirma’s zijn geen doelwit. Ook bezoekers die recentelijk het slachtoffer van een aanval waren of op de betreffende website kwamen via specifieke zoekopdrachten lijken niet getroffen te worden. Darkleech is daarnaast in staat om unieke links die het bezoekers serveert, te genereren.

Het verwijderen van de malware blijkt ook lastig. De malware wijzigt onder andere na besmetting de ssh-binaries op servers. Hierdoor kunnen ze op afstand de authenticatie van de systemen omzeilen en ook bestaande authenticaties onderscheppen. Daarnaast slagen aanvallers er mogelijk in om hun toegang te herstellen na het verwijderen van de kwaadaardige modules via backdoors en rootkits. Overigens is de Darkleech-module zelf niet nieuw: eind september werd hier al melding van gemaakt en toen was de claim al dat de software al twee jaar oud was.

Bron: Tweakers.nl