This post is also available in: Português
Diversos servidores estão sendo alvo de um ataque de malware que usa hosts infectados para causar danos.
Aquela dica, tão repetida e eficaz – trocar as senhas regularmente e usar padrões fortes – novamente mostra seu poder de ajudar na segurança digital. Foi descoberto recentemente um malware chamado de Stealthworker, que se aproveita de senhas fracas e usa um arsenal maciço para invadir servidores Windows e Linux que executam ferramentas populares de CMS, publicações e hospedagem.
Pesquisadores descobriram o ataque enquanto operavam um contêiner WordPress / MySQL exposto intencionalmente, que em determinado momento começou a lidar com grandes quantidades de tráfego.
“Vimos muitas conexões entre a nossa estrutura e dezenas de sites WP na Internet. Percebemos que o tráfego era composto por tentativas de login no WordPress, e nosso sistema estava tentando entrar na página de login do WordPress com várias credenciais”, disseram os especialistas.
Enquanto vasculhavam os arquivos de log da caixa virtual comprometida, depararam-se com um tema suspeito do WordPress que continha um arquivo PHP modificado para instalar o malware. Em determinado momento, foi possível assisti-lo em ação e observar todo o seu ciclo de vida, desde a introdução até a completa entrada no servidor.
Como funciona
O Stealthworker inicia suas investidas com um ataque de força bruta distribuído. As máquinas infectadas atingem o alvo utilizando várias tentativas de login com senhas comuns. O invasor consegue evitar bloqueios por limite no número de tentativas de login ao fazer essas tentativas com várias máquinas.
Depois que a senha do administrador é adivinhada (neste caso para WordPress, embora o Stealthworker também seja direcionado para Drupal, Joomla, Magento, MySQL e vários outros), o malware executa as etapas de instalação e exclusão de vários componentes. No WordPress, uma versão modificada do tema Alternate-Lite leva a downloads que visam o back-end e procuram ocupar todo o servidor por meio de sistemas como cPanel e WMH.
O resultado final é um servidor Windows ou Linux sob o comando de um invasor. Os pesquisadores disseram que, quando seus sistemas de teste infectados eram limpos, a rede de bots reinfectava novamente essas máquinas em questão de minutos. Somente quando as senhas foram alteradas é que o problema pôde ser erradicado.
Propósito misterioso
Sabe-se que o Stealthworker tenta ocupar outros servidores, mas tem potencial para fazer muito mais – o que leva a crer que suas intenções ainda não estão totalmente claras. As possibilidades de controle que o malware oferece ao invasor abrem as portas para centenas de tipos de atividades maliciosas. “Eles obtêm uma ampla rede de servidores e sites vulneráveis que podem ser usados para basicamente qualquer coisa”, explicam os pesquisadores.
Embora o ataque do Stealthworker seja difícil de remover completamente, evitar a sua entrada é simples. Recomenda-se que os administradores tenham certeza de que todas as suas senhas sejam complexas e difíceis de adivinhar, fugindo dos passwords de fácil dedução (a exemplo da famosa senha admin ou 123456). Como o ataque persegue credenciais fracas, acredita-se que esse único passo deve manter tudo seguro – até que exista um eventual futuro em que o malware consiga driblar essa barreira. Mas, por enquanto, é rápido, fácil e barato manter-se protegido do Stealthworker.
This post is also available in: Português
