Um botnet de malware chamado Ebury estima-se que tenha comprometido 400.000 servidores Linux desde 2009, dos quais mais de 100.000 ainda estavam comprometidos no ultimate de 2023.
As descobertas vêm da empresa eslovaca de segurança cibernética ESET, que a caracterizou como uma das mais avançadas campanhas de malware do lado do servidor para ganhos financeiros.
“Os atores da Ebury têm realizado atividades de monetização (…), incluindo a disseminação de spam, redirecionamentos de tráfego da net e roubo de credenciais”, disse o pesquisador de segurança Marc-Etienne M.Léveillé em uma análise profunda.
“(As) operadoras também estão envolvidas em roubos de criptomoedas usando AitM e roubo de cartão de crédito por meio de espionagem de tráfego de rede, comumente conhecido como net skimming do lado do servidor.”
Ebury foi documentado pela primeira vez há mais de uma década como parte de uma campanha chamada Operação Windigo que visava servidores Linux para implantar o malware, junto com outros backdoors e scripts como Cdorked e Calfbot para redirecionar o tráfego da net e enviar spam, respectivamente.
Posteriormente, em agosto de 2017, um cidadão russo chamado Maxim Senakh foi condenado a quase quatro anos de prisão nos EUA pelo seu papel no desenvolvimento e manutenção do malware botnet.
“Senakh e seus co-conspiradores usaram o botnet Ebury para gerar e redirecionar o tráfego da Web em prol de vários esquemas de fraude de cliques e e-mail de spam, que geraram fraudulentamente milhões de dólares em receitas”, disse o Departamento de Justiça dos EUA na época.
“Como parte de seu apelo, Senakh admitiu que apoiou o empreendimento criminoso criando contas com registradores de domínio que ajudaram a desenvolver a infraestrutura da botnet Ebury e lucrou pessoalmente com o tráfego gerado pela botnet Ebury.”
A investigação da ESET revelou vários métodos que os invasores usam para entregar Ebury, incluindo métodos como roubo de credenciais SSH, preenchimento de credenciais, infiltração na infraestrutura do provedor de hospedagem, exploração de falhas no Painel de Controle da Net (por exemplo, CVE-2021-45467) e adversário SSH. -in-the-middle (AitM).
Os atores da ameaça também foram observados usando identidades falsas ou roubadas para encobrir seus rastros, sem mencionar o comprometimento da infraestrutura usada por outros perpetradores com o malware, a fim de atingir seus objetivos e confundir os esforços de atribuição.
“Um exemplo é o comprometimento dos servidores responsáveis pela coleta de dados do Vidar Stealer”, disse a ESET. “Os atores de Ebury usaram as identidades roubadas obtidas através do Vidar Stealer para alugar infraestrutura de servidores e em suas atividades, enviando os órgãos de aplicação da lei nas direções erradas.”
Em outro caso, Ebury teria sido usado para violar um dos sistemas do autor do botnet Mirai e roubar o código muito antes de ele ser twister público.
O malware também atua como backdoor e ladrão de credenciais SSH, oferecendo aos invasores a capacidade de implantar cargas adicionais, como HelimodSteal, HelimodProxy e HelimodRedirect, e expandir sua presença em uma rede comprometida. A versão mais recente do Ebury conhecida até o momento é 1.8.2.
“Essas ferramentas têm o objetivo comum de monetizar, através de vários métodos, os servidores que comprometem”, disse a ESET. “A forma como os servidores são monetizados varia desde roubo de informações de cartão de crédito e roubo de criptomoedas até redirecionamento de tráfego, envio de spam e roubo de credenciais.”
Embora HelimodSteal, HelimodRedirect e HelimodProxy sejam todos módulos de servidor HTTP usados para interceptar solicitações HTTP POST feitas ao servidor net, redirecionar solicitações HTTP para anúncios e tráfego de proxy para enviar spam, o grupo também emprega um módulo de kernel chamado KernelRedirect que implementa um Netfilter gancho para modificar o tráfego HTTP para realizar o redirecionamento.
Também são utilizados softwares para ocultar e permitir tráfego malicioso através do firewall, bem como scripts Perl para realizar ataques AitM em larga escala nos information facilities de provedores de hospedagem para violar alvos valiosos e roubar criptomoedas de suas carteiras.
O HelimodSteal também foi projetado para capturar dados de cartão de crédito enviados por uma vítima a uma loja on-line, efetivamente como um net skimmer do lado do servidor para extrair as informações recebidas pelo servidor infectado.
Numa cadeia alternativa de eventos, os detalhes financeiros podem ser obtidos por meio de Ebury ou FrizzySteal, uma biblioteca compartilhada maliciosa que é injetada no libcurl e pode exfiltrar solicitações feitas pelo servidor comprometido para servidores HTTP externos, como um processador de pagamentos.
“Como ambos operam no servidor net ou aplicativo, a criptografia ponta a ponta (HTTPS) não pode proteger contra essa ameaça”, observou a ESET.
“O acesso aos servidores usados para hospedagem compartilhada lhes concede acesso a uma grande quantidade de tráfego da net não criptografado, que eles aproveitam para redirecionamento furtivo ou captura de detalhes enviados em formulários on-line”.
