Un nou program malware care functioneaza ca modul pentru serverele web Apache si Nginx este promovat si vandut pe forumurile hackerilor, conform cercetatorilor de la firma de securitate IntelCrawler, un start-up din Los Angeles.
Malware-ul este numit Effusion si poate injecta cod in timp real in site-urile cu hosting pe servere web compromise. Prin injectarea de continut malware intr-un website, atacatorii pot redirectiona vizitatorii catre pagini web malware sau pot lansa atacuri cibernetice.
Modulul Effusion functioneaza pe Nginx 0.7 si pana pe cea mai recenta versiune stabila (1.4.4), si pe servere web Apache ce ruleaza pe sisteme Linux si FreeBSD pe 32 si 64 de biti. Modulele au rolul de a extinde functionalitatile de baza ale serverelor web Apache si Nginx.
Malware-ul poate injecta cod malware in continutul static al anumitor tipuri de MIME, inclusiv JavaScript si HTML, dar si in template-uri PHP la inceputul, sfarsitul sau dupa un anumit tag. Astfel, atacatorii pot modifica codul de la distanta.
In plus, malware-ul poate verifica daca are acces root, lucru care ar putea permite atacatorilor un control mai mare asupra sistemului. De asemenea, acesta poate sterge continutul malware injectat atunci cand sunt gasite procese suspecte, in scopul de a evita detectarea.
Desi acesta nu este primul malware ce functioneaza ca un modul Apache, este cu siguranta unul dintre putinele module ce vizeaza si Nginx, un server web de inalta performanta ce a devenit foarte popular in ultimii ani.
Potrivit studiului Netcraft pe luna decembrie privind serverele web, Nginx este al treilea cel mai utilizat server web la scara larga, dupa Apache si Microsoft IIS, si are o cota de piata de peste 14%. Deoarece este conceput astfel incat sa poata face fata unui numar mare de conexiuni simultane, Nginx este folosit pentru hosting de website-uri cu trafic intens, printre care si Netflix, Pinterest, CloudFlare, WordPress.com si SoundCloud.