Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Malware adopta DevOps para dirigirse a sitios XXX
Los sitios porno desarrollados en servidores Linux podrían ofrecer a sus desarrolladores más de lo que esperan, trás una de las campañas de malware más preocupantes de 2014, en la que los atacantes cambiaron de táctica para golpear a sitios para adultos de forma sigilosa.
La campaña Windigo fue revelada en marzo de 2014. En dos años, han infectados a 25 mil servidores Unix y Linux, y existen, por el momento, alrededor de 10 mil bajo control activo, incluyendo kernel.org. Esas cifras fueron menores que las observadas en otras campañas, pero potencialmente más perjudiciales ya que son servidores los que estaban siendo comprometidos.Como adelanto de la charla que ofrecerá a Linux.conf.au el viernes en Auckland, el analista de malware de ESET Olivier Bilodeau, dijo que los creadores de malware han infectado sitios porno después de que la campaña de Windigo fue revelada.
"Ellos estaban infectando cualquier cosa con una buena IP, pero ahora, en su mayoría, están infectando sitios porno", mencionó. Es muy sigiloso, ya que esperas ventanas emergentes y banners y ¿quién informa de un intento de descarga de un .exe- Nadie. "Por lo general, cuando infectan a un servidor afectan a miles de usuarios."
El kit de exploits que utilizan varía: los atacantes comenzaron con Flashblack, luego se trasladaron a Infamous y el kit Dead BlackHole, ahora están con Foisting RIG.
El ataque todavía dependía de tener las credenciales robadas, pero había sido reformulado para infectar a las víctimas a un ritmo constante en lugar de esporádicamente.
Muchos de los sitios web porno sin nombre eran sitios pequeños "especializados" que tendrían un menor número de herramientas de seguridad en lugar de los grandes sitios. "Creemos que están interesados en permanecer bajo el radar y ganar dinero y no exhibirse en gran medida porque la ley podría interesarse si hay una gran cantidad de víctimas", señaló.
Desarrolladores de Windigo han jugado "al gato y al ratón" con ESET, manipulando su malware, actualizando técnicas para identificar y eliminar la infección.
Ahora se dedican a los DevOps, por primera vez ocurre esto en el malware según ESET. "Es la primera vez que hemos visto estas técnicas específicas siendo utilizadas", dijo Bilodeau.
ESET ha llanzado una convocatoria abierta para la identificación y eliminación de instrucciones para frenar la tendencia.
Los creadores del malware utilizaron Bash y Perl a través de SSH en lugar de tener que descargarse en un servidor, lo que significa que el código no fue escrito en el servidor forzosamente, obligando a ESET a hacer un man-in-the-middle del protocolo SSH corriendo un honeypot infectado por Windigo.
"Este fue un gran esfuerzo para los desarrolladores", sostuvo.
El script Perl encontró limpios los registros, examinó los parches instalados y los marcos de seguridad que le permitan orientarse a instalaciones de Linux específicas.
El análisis estadístico se vio obstaculizado por la ausencia de un command and control, y la naturaleza cambiante de la amenaza, que significa la extrapolación en el número de víctimas fue "más arte que ciencia".
