O ataque que inicialmente teria atingido algumas centenas de sites já atingiu na realidade mais de 10 mil endereços na web
Um ataque em massa iniciado no mês passado contra servidores Linux Apache ganhou força e êxito por utilizar um método de invasão que explora um processo automático de senha e instalação, de acordo com um pesquisador de segurança que monitora o progresso do ataque.
Don Jackson, pesquisador sênior de segurança da SecureWorks, diz que o ataque, que inicialmente teria comprometido algumas centenas de sites, atingiu pelos menos 10 mil endereços na web. Segundo o especialista, o ataque utiliza senhas roubadas de servidores Apache para, por meio de um processo automático de instalação, forçar as máquinas a atacarem as vulnerabilidades de clientes Windows.
“O servidor web explora falhas relacionadas a malwares do Windows de 2006”, diz Jackson. “O ataque como um todo é muito misterioso. Ele é baseado em um botnet, mas não tem origem nos grupos russos ou chineses, e deve ser europeu ou norte-americano.”
O ataque, que explora os já populares malwares Rbot e Sdbot, tem como alvo pelo menos nove vulnerabilidades de software associadas ao QuickTime, AOL SuperBuddy e Yahoo! Messenger. Por esses caminhos, ele tenta assumir o controle de desktops baseados no Windows. Segundo a SecureWorks, a maioria dos antivírus no mercado consegue detectar o malware.
A questão é que os hackers instalaram códigos que modificam a memória do Apache de forma a monitorar as solicitação e injetar ali tags e conteúdos de script ou o Rbot executável, de acordo com a SecureWorks. Alguns gerentes de redes Linux Apache estão tendo dificuldades para limpar o código do ataque de seus servidores, diz Jackson.
Ele diz que já existe um código de prova de conceito para um ataque semelhante baseado na instalação automática de senhas roubadas e de malware no Internet Information Server, da Microsoft. Mas ele não o viu ser tão explorada da forma como o ataque ao Linux Apache vem se disseminando.
