Se llama Linux/Cdorked.A y es un nuevo troyano que afecta a servidores web Apache, los más conocidos y usados en el mundo, advierte la firma de seguridad ESET.
“Esta amenaza es un backdoor altamente avanzado que se usa para dirigir el tráfico hacia sitios maliciosos alojados en dichos servidores”, explican.
Cuando el usuario visita un sitio comprometido y alojado en el servidor, los ciberdelincuentes utilizan exploits conocidos y se aprovechan de nuevas vulnerabilidades zero day para tomar control del sistema.
Adicionalmente, se instala una cookie en el navegador, para que el usuario no vuelva ser dirigido al mismo lugar, sino a otro comprometido la próxima vez que intente visitar el sitio.
Asimismo, y para no afectar a un administrador de sistema, el backdoor comprueba el referrer del usuario (de dónde proviene) y si este es redireccionado desde una URL que contenga determinadas palabras claves como “admin” o “cpanel”, el troyano no redirige a la persona hacia contenidos maliciosos.
El troyano contiene el paquete de exploit Blackhole, considerado por los expertos como el más sofisticado que han encontrado hasa ahora. “Toda la información relacionada a este troyano se guarda en la memoria compartida del servidor, haciendo difícil la detección y obstaculizando el análisis”, declaró Pierre-Marc Bureau, Security Intelligence Program Manager de ESET.
Por so, recomiendan a los administradores de sistemas que chequeen sus servidores y verifiquen que no estén afectados por esta amenaza y seguir las buenas prácticas de contar con un software de seguridad actualizado.