Компанія ESET — лідер у галузі розробки антивірусного програмного забезпечення — повідомляє про швидке поширення шкідливого модуля до веб-сервера Apache. Продукти ESET класифікують дану загрозу як Linux/Chapro.A. Основною метою цієї програми є впровадження шкідливого контенту на сторінки, які обслуговуються інфікованим веб-сервером. При цьому використовуватися може практично будь-який тип контенту, але в даному випадку Linux/Chapro.A встановлює одну з варіацій шкідливого програмного забезпечення Win32/Zbot, призначеного для крадіжки конфіденційної інформації з заражених систем. Діяльність даної версії Win32/Zbot спрямована на європейські та російські банківські організації. Варто відзначити, що Apache є найпопулярнішим HTTP-сервером у сфері програмного забезпечення та обслуговує більше половини всіх активних веб-сайтів у всьому світі.
«Ця загроза говорить про підвищення рівня складності шкідливих атак. У даному випадку програма поширюється в трьох країнах, щоб атакувати користувачів у четвертій країні», — розповідає П'єр-Марк Бюро, керівник програми глобального моніторингу шкідливої активності ESET.
Шкідливий модуль має кілька цікавих можливостей, використання яких дозволяє загрозі залишатися непоміченою системними адміністраторами. Наприклад, Linux/Chapro.A може встановлювати куки-файли на комп'ютер жертви та приховуватися від веб-браузерів, в яких він може видавати помилку. Дослідники ESET вперше виявили дану загрозу у листопаді. Спроба зараження була заблокована продуктами ESET за допомогою сканування на основі методу родових сигнатур. Більше того, раніше шкідливе посилання було додане до чорного URL списку. У процесі аналізу було виявлено, що сервер управління шкідливою програмою перебував у Німеччині, але останнім часом перейшов в автономний режим.
Дослідники ESET прийшли до висновку, що Linux/Chapro.A впроваджує шкідливі фрейми в HTML-сторінки, спрямовуючи користувачів на сайти з експлойт-паком «Sweet Orange», де вони піддаються зараженню банківськими троянами, такими як Win32/Zbot. «У ході аналізу ми виявили, що управління експлойтом у даний час здійснюється з Литви. Загроза використовує декілька вразливостей, виявлених у сучасних веб-браузерах і плагінах, — розповідає П'єр-Марк Бюро, керівник програми глобального моніторингу шкідливої активності ESET. — Кінцевою метою атаки є інсталяція однієї з версій шкідливої програми Win32/Zbot, також відомої як ZeuS. Варто відзначити, що дана загроза широко використовувалася кіберзлочинцями для крадіжки конфіденційної банківської інформації».
Як тільки користувач входить до облікового запису шкідлива програма за допомогою спливаючого вікна запитує CVV код його картки. Після цього загроза намагається відправити отримані облікові дані разом з CVV кодом оператору ботнету. Незважаючи на те, що команда дослідників ESET не зустрічала Linux/Chapro.A у «дикому» середовищі, були виявлені тисячі користувачів, які відвідали сайти з експлойт-паком «Sweet Orange» перш ніж доступ до даного сервера був заблокований продуктами ESET.