Beveilgingsbedrijf ESET heeft een malafide Apache-module ontdekt waarmee websites worden gecorrumpeerd om malware af te vuren op bezoekers. Door de module te hechten aan Linux-servers worden Windows-gebruikers getrakteerd op virussen via ongepatchte gaten in bijvoorbeeld Flash, Java of Internet Explorer.

ESET heeft de module Linux/Chapro.A gedoopt. De module levert via de iFrame-injectie payloads af via de betrekkelijk nieuwe exploitkit Sweet Orange. Deze tool belooft cybercriminelen 150.000 unieke bezoekers per dag die blootgesteld worden aan een hele reeks drive-by's via diverse lekken. Momenteel levert de malafide module de bankingtrojan Zeus af.

Cookies om zich te verbergen

De plug-in doet er alles aan om zichzelf te verbergen. Met Linux/Chapro.A voert de Apache-webserver een check uit op de UA-string om te zien of het zin heeft de betreffende browser te infecteren. Als het bijvoorbeeld een mobiele browser is, doet hij al geen poging de payload af te leveren.

Als het wel lukt, stuurt de Apache-module netjes een cookie mee naar de gebruiker waardoor de website weet als de bezoeker terugkeert dat deze niet nogmaals hoeft te worden voorzien van een malafide payload. De kans dat de besmetting onopgemerkt blijft is daarmee een stuk kleiner en het zorgt ervoor dat gebruikers en onderzoekers minder snel ontdekken waar de besmetting precies vandaan komt omdat de infectie lastiger te reproduceren is.

Dagelijks tienduizenden zombies

De aanval levert momenteel een Zeus-trojan af die op zoek gaat naar pin- en creditcardgegevens om deze door te sturen naar een C&C. Via de Sweet Orange exploitkit kunnen echter allerlei trojans worden afgeleverd om websitebezoekers een botnet in te trekken.

Sweet Orange is een vrij nieuwe exploitkit met een verzameling zero-days die worden gebruikt door Linux/Chapro.A. “Gebaseerd op onze analyse zijn we er vrij zeker van dat de iFrame-injectie bezoekers leidt naar een pagina die de Sweet Orange-exploitkit draait", schrijft ESET-bezoeker Pierre-Marc Bureau.

De tool draait webpagina's waar via ongepatchte gaten in de systemen van websitebezoekers zo'n 10 tot 25 procent van deze klanten besmet worden met malware. Met 150.000 unieke bezoekers per dag, betekent dat dagelijks tienduizenden nieuwe zombies.