Effusion - новый вредонос, атакующий сервера Nginx


Effusion - новое вредоносное программное обеспечение, функционирующее как модуль для веб-серверов Apache и Nginx, и наделенный возможностью вставлять код в реальном времени в веб-сайты, размещенные на скомпрометированных веб-серверах.

Известно, что инъекции кода способны создать условия для переадресации на хакерские сайты. Также атакующие могут встраивать различные социально-инжениринговые тактики для обмана пользователей.

Вредоносное ПО Effusion работает с сервером Nginx 0.7 и до текущей версии 1.4.4, а также с 32- или 64-битной версией Apache под Linux или FreeBSD. При этом вредонос маскируется под модуль, расширяющий базовую функциональность веб-сервера. Еще он может вставлять заданный контент в различные MIME-типы, в частности в:

  • JavaScript;
  • HTML;
  • PHP,

при этом либо вначале страницы, либо по специальным тэгам в разметке. Злоумышленники также могут обновлять конфигурацию вредоноса и удаленно контролировать модификации кода.

В коде вредоноса предусмотрена возможность фильтрации, ограничивающая события при наступлении инъекции кода. Effusion поддерживает фильтрацию по:

  • заголовкам;
  • источникам заходов пользователей;
  • пользовательским агентам;
  • IP-адресам;
  • диапазонам IP-адресов.


Ко всему прочему, вредонос также старается заполучить root-доступ к системе, для предоставления злоумышленникам возможности проводить другие деструктивные действия с зараженным сервером.

Продается вредонос Effusion на форумах за $2,5 тыс.