บริษัท ESET ผู้ผลิตโปรแกรมแอนตี้ไวรัส ได้ค้นพบโมดูลอันตรายของ Apache Web Server เวอร์ชั่น Linux 64 bit และได้ตั้งชื่อโมดูลที่ค้นพบนี้ว่า Linux/Chapro.A
การทำงานของโมดูลอันตรายดังกล่าว จะแทรกโค้ด เช่น iframe หรือ JavaScript เข้าไปในเว็บเพจเพื่อเผยแพร่โทรจัน Zbot (หรืออีกชื่อหนึ่งคือ ZeuS) ซึ่งโทรจันที่ว่านี้จะขโมยข้อมูลการใช้งานธนาคารออนไ ลน์ โดยเมื่อผู้ใช้ล็อกอินเข้าใช้งานบัญชีธนาคาร มัลแวร์จะแสดงหน้าต่าง popup ขึ้นมาเพื่อหลอกถามรหัส CVV ของบัตรเครดิต จากนั้นจะส่งข้อมูลของผู้ใช้รวมทั้งรหัส CVV ไปให้ผู้ควบคุม Botnet อีกทีหนึ่ง
สิ่งที่น่าสนใจของ Linux/Chapro.A คือวิธีที่ใช้ในการซ่อนตัวจากผู้ดูแลระบบ ไม่ว่าจะเป็นการตรวจสอบ IP ที่เชื่อมต่อ SSH เข้ามาที่เซิร์ฟเวอร์ หากพบว่า IP ที่เข้าชมเว็บไซต์เป็น IP เดียวกับที่เชื่อมต่อ SSH จะไม่แสดงหน้าเว็บอันตรายให้เห็น หรือการเซ็ตค่า cookie เพื่อให้ผู้เข้าชมเว็บไซต์ติดมัลแวร์ได้แค่ครั้งแรกค รั้งเดียว เป็นต้น
ที่มา - Help Net Security, ESET Blog


อ่านต่อ...