Серверы Apache стали орудием кибервымогателей

Компания Eset сообщает о набирающей силу волне атак кибервымогателей, которые распространяют вредоносное ПО через веб-хостинговые компании, использующие серверы Apache. Загружаясь на компьютеры пользователей, вредоносное ПО блокирует систему, требуя для разблокировки оплату в сумме 300 долларов.

Нынешний всплеск кибервымогательств является продолжением долгосрочной кампании, в ходе которой хакеры пытаются поставить себе на службу инфраструктуры веб-хостинговых компаний, работающих на серверах Apache, - пишет в блоге Eset исследователь компании Себастьен Дюкетт. Для этого используется модифицированный модуль программного обеспечения Apache, получивший название Darkleech.

Специалисты Eset также подозревают, что хакерам удалось скомпрометировать программы CPanel и Plesk, используемые многими веб-хостерами для управления своими сетями и сайтами.

Модуль Darkleech создает плавающий фрейм, который перенаправляет пользователей на подконтрольные киберпреступникам веб-страницы. Только на минувшей неделе специалисты Eset выявили более 270 веб-сайтов, таким образом перенаправлявших своих посетителей. «Конечным пунктом» этого маршрута оказываются страницы, содержащие печально известный пакет эксплойтов Blackhole. В зависимости от состояния браузера пользователя и степени обновления плагинов Java и Adobe reader, Blackhole пытается установить на его компьютер то или иное вредоносное ПО.

Одной из его наиболее распространенных разновидностей и оказывается программа-вымогатель Nymaim, блокирующая систему и требующая платы за разблокировку. Дюкетт отмечает, что нынешняя версия Nymaim, судя по всему, модифицирована с тем, чтобы учитывать геопозицию инфицированных систем. Так, пользователям из США при блокировке их компьютеров выводится на монитор фальсифицированное сообщение от имени Федерального Бюро Расследований.