Mais de 10000 servidores Unix infectados com o Trojan, 500.000 computadores em risco diário

Uma ampla campanha cibercriminosa tomou o controle de mais de 25.000 servidores Unix em todo o mundo, informou a ESET. Chamada de “Operação Windigo”, essa campanha mal-intencionada já existe há anos e usa um nexo de componentes de malware sofisticados que são projetados para seqüestrar servidores, infectar os computadores que os visitam e roubar informações.

O pesquisador de segurança da ESET, Marc-Étienne Léveillé, diz:

“Windigo vem ganhando força, em grande parte despercebida pela comunidade de segurança, há mais de dois anos e meio, e atualmente tem 10 mil servidores sob seu controle. Mais de 35 milhões de mensagens de spam são enviadas todos os dias para contas de usuários inocentes, entupindo caixas de entrada e colocando em risco os sistemas de computadores. Pior ainda, a cada dia, mais de meio milhão de computadores correm risco de infecção, pois visitam sites que foram envenenados por malwares de servidores Web plantados pela Operação Windigo, redirecionando para kits de exploração maliciosos e propagandas. ”

Claro, é dinheiro

O objetivo da Operação Windigo é ganhar dinheiro através de:

  • Spam
  • Infectando os computadores dos usuários da web por meio de downloads drive-by
  • Redirecionando o tráfego da web para redes de publicidade

Além de enviar e-mails de spam, sites que funcionam em servidores infectados tentam infectar computadores Windows com malware através de um kit de exploração, usuários de Mac são veiculados em sites de namoro e donos de iPhone são redirecionados para conteúdo on-line pornográfico.

Isso significa que ele não infecta o desktop Linux? Eu não posso dizer e reportar nada menciona sobre isso.

Dentro Windigo

A ESET publicou um relatório detalhado com as investigações da equipe e análise de malware, juntamente com orientações para descobrir se um sistema está infectado e instruções para recuperá-lo. De acordo com o relatório, a Windigo Operation consiste no seguinte malware:

  • Linux / Ebury : roda principalmente em servidores Linux. Ele fornece um shell de backdoor raiz e tem a capacidade de roubar credenciais de SSH.
  • Linux / Cdorked : é executado principalmente em servidores web Linux. Ele fornece um backdoor shell e distribui malware do Windows para usuários finais por meio de downloads drive-by.
  • Linux / Onimiki : executado em servidores DNS do Linux. Ele resolve nomes de domínio com um padrão específico para qualquer endereço IP, sem a necessidade de alterar qualquer configuração do lado do servidor.
  • Perl / Calfbot : funciona na maioria das plataformas suportadas Perl. É um bot de spam leve escrito em Perl.
  • Win32 / Boaxxe.G : um malware de fraude por cliques e Win32 / Glubteta.M, um proxy genérico, executado em computadores Windows. Estas são as duas ameaças distribuídas via download drive-by.

Verifique se o seu servidor é uma vítima

Se você é um administrador de sistemas, pode valer a pena verificar se o seu servidor é uma vítima do Windingo. O ETS fornece o seguinte comando para verificar se um sistema está infectado com qualquer um dos malwares do Windigo:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected” 

Caso seu sistema esteja infectado, é recomendável limpar os computadores afetados e reinstalar o sistema operacional e o software. Má sorte, mas é para garantir a segurança.

Recomendado

Qalculate! - A melhor aplicação de calculadora em todo o universo
2019
Conheça Nitrux: A Distribuição Linux Mais Bonita de Sempre?
2019
Coisas para fazer depois de instalar o openSUSE Leap 15
2019