Apache-malware verspreidt digitale bankrover
Onderzoekers hebben een kwaadaardige Apache-module ontdekt die malware op besmette webservers verspreidt. Apache is de populairste webserver en wordt voor het hosten van miljoenen websites gebruikt. Onlangs werd er ook al een rootkit ontdekt die Linux-webservers infecteerde, maar volgens het Slowaakse anti-virusbedrijf verschilt de nu ontdekte Apache-malware hiervan.
Zodra een webserver is gehackt en de module geplaatst, injecteert die kwaadaardige content op de gehoste websites. In het geval dat ESET analyseerde gaat het om iframes, maar ook het plaatsen van kwaadaardige JavaScript wordt niet uitgesloten. De geplaatste iframes misbruiken verschillende beveiligingslekken om bezoekers te infecteren.
Het gaat dan om twee Java-lekken van dit jaar, een IE-lek uit 2006 en een Adobe Reader-lek uit 2010. Gebruikers met bijgewerkte software lopen dan ook geen enkel risico. Is de software niet up-to-date, dan wordt er een variant van de Zeus banking Trojan geïnstalleerd. Software speciaal ontwikkelde om geld van online bankrekeningen te stelen. Deze variant zou het vooral op Europese en Russische banken hebben voorzien.
Detectie
Volgens ESET beschikt de Apache-module over allerlei eigenschappen om detectie door systeembeheerders te vermijden. Zo wordt er naar bepaalde user agents gezocht. Dit is informatie die de browser van een bezoeker naar de webserver stuurt. In het geval van webcrawlers wordt de besmette content niet getoond.
Ook inspecteert Chapro, zoals de malware wordt genoemd, alle actieve SSH-sessies op het systeem. Als een bezoeker een pagina opvraagt vanaf het zelfde IP-adres dat voor een SSH-verbinding wordt gebruikt, zal de besmette content niet worden getoond. Dit zou detectie door systeembeheerders en webmasters moeten voorkomen.
Tevens wordt er een lijst met IP-adressen bijgehouden die de kwaadaardige content al hebben gehad. Wordt een besmette pagina twee keer van hetzelfde IP-adres bezocht, dan zal de kwaadaardige content slechts een keer worden verstuurd.
ESET stelt dat het de module slechts één keer in het wild heeft aangetroffen, maar dat de webserver in kwestie door duizenden mensen is bezocht.
https://secure.security.nl/artikel/43901/Apache_module_maakt_hackers_langer_onzichtbaar_.html
De malware zelf was ook al enkele maanden bekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.