Rootkit diseñado para servidores Linux inyecta Iframe malicioso

Que existe malware para todos los sistemas operativos no es ninguna novedad, puesto que así ha sido desde hace muchos años. No obstante, la noticia del descubrimiento de un nuevo código malicioso diseñado específicamente para Linux siempre despierta curiosidad porque no es muy frecuente.

En esta ocasión nos encontramos ante un rootkit (conjunto de herramientas diseñadas para escalar privilegios en un sistema) pensado para atacar sistemas Linux de 64 bits e inyectar etiquetas Iframe en webs legítimas, redirigiendo a continuación a todo aquel que las visite a una web maliciosa. La primera noticia de esta amenaza, que las soluciones de seguridad de ESET detectan como Linux/Snakso.A, la tuvimos a raíz de un mensaje publicado en Seclist, en el que un usuario informó que su servidor HTTP proxy Ngix redirigía a los visitantes a webs maliciosas que intentaban infectar sistemas Windows.

http://blogs.protegerse.com/laboratorio/wp-content/linux.png

Al realizar un análisis de este servidor se descubrió que había sido comprometido y que alguien había conseguido introducir un rootkit para poder realizar actividades maliciosas desde el mismo. Sin embargo, a pesar de que el creador de este malware se tomó molestias para evitar que su creación fuese detectada, cualquiera que visitara las webs alojadas en un servidor web infectado podría notar de forma sencilla que está siendo redirigido a una web atacante, por lo que es probable que se trate de la obra de un creador de malware “primerizo”.

El hecho de que se esté usando un servidor Linux infectado para propagar amenazas en entornos Windows no es algo que ocurra por primera vez, pero sí que representa un cambio con respecto a las miles de amenazas que hemos observado durante los últimos meses y que usaban sitios legítimos vulnerables para propagarse. Y el que sea un código nuevo, tal y como apuntan nuestros compañeros de Hispasec, en vez de reciclar código ya existente también tiene su punto de interés.

Este caso denota una evolución en las técnicas usadas para comprometer webs legítimas y que estas empiecen a propagar códigos maliciosos. Los ciberdelincuentes ya no se conforman en buscar las webs legítimas vulnerables y aprovechar sus fallos de seguridad, sino que también apuntan directamente a los servidores que las alojan.

Sirva como ejemplo de que nunca debemos descuidar la seguridad de nuestro sistema por muy invulnerable que creamos que sea. Siempre habrá alguien que, con el tiempo y dedicación suficiente, conseguirá ponernos en un aprieto si no tomamos las medidas de seguridad adecuadas.
__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.