A ESET e a Sucuri, empresa de segurança de websites, detectaram uma nova ameaça que afeta servidores web Apache – os mais conhecidos e utilizados no mundo. O Linux/ Cdorked.A é um código malicioso do tipo backdoor, que tem como objetivo direcionar os usuários para sites maliciosos alojados em servidores que contêm o kit de exploit Blackhole.

Os especialistas consideram que trata-se da mais sofisticada ameaça desse tipo já identificada. O Sistema de alerta ESET LiveGrid detectou que centenas de sites estão comprometidos. “Uma das características desse backdoor é a dificuldade de identificá-lo. Isso porque, o Linux/Cdorked.A só deixa como rastro um arquivo ‘httpd’ modificado no disco rígido. Enquanto toda a informação sobre esse código malicioso fica armazenada na memória compartilhada do servidor”, explica Camillo Di Jorge, country manager da ESET Brasil.

Além disso, esse backdoor segue outros passos para evitar sua detecção, tanto no servidor comprometido quanto nos navegadores dos computadores que o acessaram. O popular kit exploit Blackhole se aproveita de novas vulnerabilidades zero-day para assumir o controle do sistema quando o usuário visita um site comprometido pela ameaça. O acesso a um servidor web infectado não implica simplesmente no redirecionamento a um site malicioso: um cookie é implantado no navegador, fazendo com que o backdoor não volte a direcionar o usuário para o mesmo local.

Além disso, para não afetar um administrador de sistema, o backdoor comprova as referências do usuário. Se ele é redirecionado de uma URL que contenha determinadas palavras-chave, como ‘admin’ ou ‘cpanel’, o Trojan não o redireciona para conteúdos maliciosos.

A ESET recomenda que, para evitar esse tipo de problema, os administradores de sistemas chequem seus servidores e verifiquem se estão infectados pela ameaça.