A ameaça, conhecida como BKDR_JAVAWAR.JG, vem em forma de JavaServer Page (JSP), um tipo de página que pode ser implantada e servida apenas por um servidor web especializado em servlet container, como o Apache Tomcat.
Uma vez que essa página é implantada, o cracker pode acessá-la remotamente e utilizar as funções do browser, realizar uploads e downloads, editar, excluir, ou copiar arquivos do sistema infectado utilizando uma interface web. Essa é uma funcionalidade similar a fornecida por backdoors baseados em PHP, popularmente conhecidos como PHP web shells.
"Além de ter acesso a informações confidenciais, o cracker obtém o controle sobre o sistema infectado por meio do backdoor e pode realizar mais comandos maliciosos no servidor vulnerável", disseram os pesquisadores da Trend Micro, na quinta-feira, em um post no blog.
O JSP pode ser instalado por outro malware que já está rodando no sistema que hospeda servidores HTTP baseados em Java e Sevlet Container, ou ainda pode ser baixado quando o navegador acessa sites maliciosos do sistema infectado.
De acordo com o relatório da Trend Micro, o malware tem como alvo sistemas que rodam Windows 2000, Windows Server 2003, Windows XP, Windows Vista e Windows 7.
"Outro modo de atacar é quando o cracker verifica sites alimentadas pelo Apache e, depois, tenta acessar o gerenciador de aplicações web Tomcat", disseram os pesquisadores da Trend Micro. "Utilizando uma ferramenta de cracking, cibercriminosos podem realizar login e ganhar funções de gerenciamento/administração permitindo a implantação de um arquivo WAR (Web Application Archive) compactados com backdoor no servidor."
A fim de proteger o servidor de tais ameaças, os administradores devem utilizar senhas fortes que não possam ser facilmente quebradas utilizando ferramentas de força bruta, devem também implantar todo tipo de atualizações de segurança disponíveis para os seus sistemas e softwares e evitar navegar por sites desconhecidos ou não confiáveis, sugerem os pesquisadores da Trend Micro.
Uma vez que essa página é implantada, o cracker pode acessá-la remotamente e utilizar as funções do browser, realizar uploads e downloads, editar, excluir, ou copiar arquivos do sistema infectado utilizando uma interface web. Essa é uma funcionalidade similar a fornecida por backdoors baseados em PHP, popularmente conhecidos como PHP web shells.
"Além de ter acesso a informações confidenciais, o cracker obtém o controle sobre o sistema infectado por meio do backdoor e pode realizar mais comandos maliciosos no servidor vulnerável", disseram os pesquisadores da Trend Micro, na quinta-feira, em um post no blog.
O JSP pode ser instalado por outro malware que já está rodando no sistema que hospeda servidores HTTP baseados em Java e Sevlet Container, ou ainda pode ser baixado quando o navegador acessa sites maliciosos do sistema infectado.
De acordo com o relatório da Trend Micro, o malware tem como alvo sistemas que rodam Windows 2000, Windows Server 2003, Windows XP, Windows Vista e Windows 7.
"Outro modo de atacar é quando o cracker verifica sites alimentadas pelo Apache e, depois, tenta acessar o gerenciador de aplicações web Tomcat", disseram os pesquisadores da Trend Micro. "Utilizando uma ferramenta de cracking, cibercriminosos podem realizar login e ganhar funções de gerenciamento/administração permitindo a implantação de um arquivo WAR (Web Application Archive) compactados com backdoor no servidor."
A fim de proteger o servidor de tais ameaças, os administradores devem utilizar senhas fortes que não possam ser facilmente quebradas utilizando ferramentas de força bruta, devem também implantar todo tipo de atualizações de segurança disponíveis para os seus sistemas e softwares e evitar navegar por sites desconhecidos ou não confiáveis, sugerem os pesquisadores da Trend Micro.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário