Se calcula que Darkleech ha infectado a unas 20.000 páginas web es sólo unas pocas semanas. La cifra se basa en las casi 2.000 infecciones descubiertas por Cisco. Los expertos explican que asumiendo que un servidor web típico aloje unos 10 sites, pueda haber un total de 20.000 sites afectados, aunque lo cierto es que la cifra total es desconocida.
El proceso de infección empieza cuando un atacante accede a la raíz de los servidores, aunque por el momento se sigue investigando en cómo consigue hacerlo, y no se descarta desde el descifrado de contraseñas, ingeniería social, o ataques que se aprovechan de fallos desconocidos en aplicaciones de uso frecuente y sistemas operativos.
Pero una vez que se consigue acceder, el servidor ya está infectado con un malware que permite a los ciberdelincuentes atacarlo remotamente y configurar módulos Apache maliciosos. Uno de estos módulos es Darkleech, explica Mary Landesman, de Cisco.
Una vez realizada la infección, el malware, que hará un esfuerzo considerable para no ser descubierto, infectará a los visitantes de la web. “Debido a que los iframes son dinámicamente inyectados sólo cuando se accede a las páginas, la detección es particularmente difícil”, explica Landesman.
Para Mary Ledesman, a los propietarios de los sitios web les será extremadamente difícil detectar o limpiar el site comprometido. La mayoría no tendrán acceso a nivel de raíz del servidor web, de forma que si sospechan algo, tendrán que convencer a los proveedores de alojamiento de que estudien el caso. Incluso si el proveedor de alojamiento es sensible a las demandas del propietario de la web, “los módulos maliciosos de Apache y de puerta trasera SSHD asociada, pueden ser difíciles de desentrañas, y el método exacto varía dependiendo de la configuración del servidor”, explica Cisco en el blog.
El resultado es una infección del servidor web que es difícil de detectar y posiblemente difícil de eliminar. De forma que son los usuarios finales los que deben redoblar sus esfuerzos para permanecer a salvo contra estas amenazas.
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las amenazas surgidas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…