La société spécialiste dans la cybersurveillance criminelle IntelCrawler met en garde contre un programme malveillant vendu sur des forums liés à la cybercriminalité. Nommé Effusion, le malware fonctionne comme un module pour serveurs web Apache et Nginx.

Selon le descriptif accompagnant le malware, Effusion peut injecter du code en temps réel dans des sites hébergés sur des serveurs web compromis. En injectant le contenu dans un site Web, les attaquants peuvent rediriger les visiteurs vers les exploits ou lancer des attaques d'ingénierie sociale. Le module Effusion fonctionne avec les versions 0.7 à 1.4.4 - la dernière version stable - de Nginx, et avec des serveurs Apache exécutant des versions 32 et 64 bits de Linux et FreeBSD. D'une façon générale, les modules permettent de compléter les fonctions de base, minimalistes, d'Apache et de Nginx.

Le malware peut injecter du code malveillant dans le contenu statique de certains types MIME, notamment JavaScript et HTML, et dans les templates PHP au début, à la fin ou après un tag spécifique. Les attaquants peuvent effectuer des mises à jour de configuration et modifier le code de commande à distance. Des filtres peuvent également être utilisés pour déterminer à quel moment injecter le code. Effusion supporte le filtrage au niveau de l'en-tête de page de provenance, ce qui permet de cibler uniquement les visiteurs venant de sites spécifiques. Il supporte aussi le filtrage par en-tête agent-utilisateur, qui permet de cibler les utilisateurs de navigateurs spécifiques, selon leur adresse IP ou par plage d'adresses.

2500 dollars pour une version précompilée

Le malware peut vérifier s'il a un accès root, ce qui permet aux attaquants de gagner un contrôle plus large sur le système sous-jacent. « Il est également capable de supprimer le contenu injecté s'il détecte des processus suspects afin de se cacher », a déclaré par mail Andrey Komarov, le CEO de la start-up basée à Los Angeles et spécialisée dans la surveillance cybercriminelle. « Les auteurs d'Effusion proposent une version Build précompilée pour 2500 dollars et une formule d'abonnement pour certains acheteurs », a précisé le dirigeant. Selon lui, « le prix demandé montre qu'ils veulent vendre leur malware à un nombre limité de personnes afin de pouvoir continuer à en assurer le support et à développer le logiciel malveillant en même temps ».

Effusion n'est pas le premier malware à fonctionner comme un module Apache, mais à ce jour, il est l'un des très rares à cibler Nginx, un serveur web haute performance dont la popularité n'a cessé de croître ces dernières années. Selon une enquête réalisée en décembre par l'entreprise de services Internet Netcraft sur les serveurs web, avec une part de marché de plus de 14 %, Nginx est le troisième logiciel serveur web le plus utilisé après Apache et Microsoft IIS. Parce qu'il est conçu pour gérer un grand nombre de connexions simultanées, il est utilisé pour héberger des sites à trafic élevé comme Netflix, Hulu, Pinterest, CloudFlare, Airbnb, WordPress.com, GitHub et SoundCloud.