شماره: IRCNE2013122054
تاريخ:9/10/92
با توجه به يافته هاي محققان شركت امنيتي IntelCrawler، بدافزار جديدي كه به عنوان يك ماژول براي سرورهاي آپاچي و Nginx عمل مي كند در فرم هاي مجرمان سايبري فروخته مي شود.
اين بدافزار Effusion ناميده مي شود و با توجه به مشاهدات شركت امنيتي IntelCrawler، اين بدافزار مي تواند به صورت بلادرنگ به وب سايت هايي كه بر روي وب سرورهاي در معرض خطر ميزباني مي شوند، كدي را تزريق كند. با استفاده از تزريق محتوي دلخواه به اين وب سايت ها، مهاجمان مي توانند بازديدكنندگان را به سمت وب سايت هاي مخرب هدايت كنند يا حملات مهندسي اجتماعي را راه اندازي نمايند.
ماژول Effusion بر روي Nginx نسخه 0.7 تا نسخه 1.4.4 و بر روي آپاچي در حال اجرا بر روي نسخه هاي 32 بيتي و 64 بيتي لينوكس يا FreeBSD كار مي كند.
اين بدافزار مي تواند كدهاي خرابكار را بر روي محتوي استاتيك از انواع خاص MIME از جمله جاوا اسكريپت و HTML تزريق كند. مهاجمان مي توانند پيكربندي به روز رساني ها را اعمال نمايند و از راه دور تغييرات كد را كنترل نمايند.
اين بدافزار مي تواند بررسي كند كه آيا مي تواند دسترسي root داشته باشد يا خير و در صورتي كه دسترسي root بدست آورد مي تواند به مهاجمان اجازه دهد تا كنترل هاي قوي تري را بر روي سيستم داشته باشند. هم چنين اين بدافزار مي تواند پس از آن كه فرآيندي مشكوك در سيستم كشف شود به منظور پنهان كردن خود، محتوي تزريق شده را حذف نمايد.
با وجود آن كه اين بدافزار، اولين بدافزاري نيست كه ماژول آپاچي را مورد هدف قرار مي دهد اما يكي از معدود بدافزارهايي است كه همزمان سرور وب Nginx را مورد هدف قرار داده است.
- 5