Darkleech-toolkit infecteert minstens twintigduizend Apache-servers
Twintigduizend websites die gehost worden op Apache-servers zijn mogelijk in de afgelopen maanden geïnfecteerd met malware door de toolkit Darkleech. Darkleech is nog steeds actief, waardoor het aantal besmettingen dus verder kan oplopen.
Ars Technica meldt op basis van verschillende beveiligingsexperts dat onderzoekers moeite hebben de exacte werking van Darkleech te achterhalen. Het aanpakken van de malware is hierdoor lastig, waardoor deze nog steeds actief is. Dit terwijl de eerste meldingen van de malware uit augustus 2012 stammen.
Malware injecteren in websites
De malware probeert Apache-servers te besmetten. Zodra dit is gelukt injecteert de malware code in websites die op de servers draaien. De malafide code zorgt ervoor dat de webbrowser van gebruikers die besmette websites bezoeken contact leggen met een server van de aanvallers. Via deze server wordt malware naar de machines van slachtoffers verspreid.
Darkleech verstuurt de malware echter niet naar iedere bezoeker van een geïnfecteerde website. De malware lijkt een selectie te maken op basis van IP-adressen en zelf zijn doelwitten te kiezen. Onderzoekers hebben moeite de werkwijze van de malware te analyseren, waardoor Darkleech tot nu toe niet effectief aangepakt kan worden.
Twintigduizend besmette Apache-servers
Onderzoekers van Cisco hebben de malware inmiddels getraceerd naar tweeduizend verschillende geïnfecteerde webservers. Op basis van deze bevindingen schatten de onderzoekers dat het totaal aantal Apache-servers dat door Darkleech is besmet op minstens twintigduizend.
