Investigadores analizan un nuevo rootkit el cual creen que es uno de los últimos avances en desarrollo criminal para comprometer secretamente sitios web, con finalidad dirigir a los usuarios a la descarga de exploits.
Los detalles del rootkit fueron publicados anónimamente el pasado martes en la lista de distribución Full Disclosure, premitiendo a investigadores de seguridad de las firmas de seguridad CrowdStrike y Kaspersky Lab estudiar el malware.
El sujeto anónimo, quien ejecuta un servicio web, encontró el rootkit en el servidor de una compañía después de que sus clientes dijeron ser redirigidos a sitios maliciosos.
Georg Wicherski, investigador principal de seguridad de CrowdStrike, dijo que todavía no se sabe cómo el rootkit Linux de 64 bits accedió a los servidores de la víctima y cuántos otros pueden haber sido infectados.
Los investigadores dijeron que el rootkit no es particularmente complejo. Pero lo que lo hace fascinante es que se esconde en el nivel del kernel para infectar servidores web y las computadoras por medio de tácticas de perforación o infectando sitios alojados en un servidor HTTP comprometido.
Wicherski publicó un análisis del rootkit el lunes en el blog de CrowdStrike. ”Es una pieza muy interesante de malware, ya que no se utiliza para infectar a una computadora de escritorio, si no a los servidores que alojan sitios Web”, dijo Wicherski.
El rootkit modifica la respuesta de las peticiones HTTP enviadas por el servidor web, utilizando un mecanismo de inyección de IFRAME, explicó. » Internamente redirige el navegador del usuario visitante a otro sitio”, dijo Wicherski.
La información obtenida del command-and-control (C&C) del servidor, CrowdStrike llegó a determinar que el atacante se se encontraba probablemente en Rusia.
Kaspersky también publicó un blog sobre el rootkit, reportando resultados similares. Marta Janus, investigadora de Kaspersky, dijo que el malware está dirigido a plataformas Linux de 64 bits y se esconde dentro del kernel, dando privilegios del sistema al rootkit.
La comunicación con su command-and-control se realiza usando una contraseña cifrada.
«Nos enfrentamos con algo más sofisticado, un componente binario en modo kernel que utiliza técnicas avanzadas de enganche para asegurar que el proceso de inyección sea más transparente y de menor nivel que antes”, escribió Janus.
«Este rootkit, aunque todavía se encuentra en fase de desarrollo, muestra un nuevo enfoque para el esquema de drive-descarga y sin duda, se pueden esperar más ejemplares de malware del mismo tipo en el futuro”.
[Via]