Oltre 10000 server Unix infettati da Trojan, 500.000 computer a rischio al giorno

Una campagna cybercriminale diffusa ha preso il controllo di oltre 25.000 server Unix in tutto il mondo, ha riferito ESET. Soprannominata "Operation Windigo", questa campagna malevola va avanti da anni e utilizza un nesso di componenti malware sofisticati progettati per dirottare server, infettare i computer che li visitano e rubare informazioni.

Marc-Étienne Léveillé, ricercatrice della sicurezza di ESET, afferma:

"Windigo ha raccolto forza, in gran parte inosservato dalla comunità della sicurezza, da oltre due anni e mezzo, e attualmente ha 10.000 server sotto il suo controllo. Oltre 35 milioni di messaggi spam vengono inviati ogni giorno a account di utenti innocenti, intasando caselle di posta e mettendo a rischio i sistemi informatici. Peggio ancora, ogni giorno oltre mezzo milione di computer sono messi a rischio di infezione, mentre visitano siti web che sono stati avvelenati dal malware del server Web impiantato dall'Operazione Windigo che reindirizza a kit di exploit dannosi e pubblicità ".

Certo, sono i soldi

Lo scopo di Operation Windigo è quello di guadagnare denaro attraverso:

  • Spam
  • Infettare i computer degli utenti Web attraverso download drive-by
  • Reindirizzamento del traffico Web alle reti pubblicitarie

Oltre a inviare e-mail di spam, i siti Web in esecuzione su server infetti tentano di infettare i computer Windows con malware tramite un kit di exploit, agli utenti Mac vengono offerte inserzioni per siti di incontri e i proprietari di iPhone vengono reindirizzati a contenuti online pornografici.

Significa che non infetta il desktop Linux? Non posso dire e segnalare non menziona nulla al riguardo.

Dentro Windigo

ESET ha pubblicato un rapporto dettagliato con le indagini del team e l'analisi del malware, nonché una guida per scoprire se un sistema è infetto e le istruzioni per recuperarlo. Come da report, Windigo Operation comprende il seguente malware:

  • Linux / Ebury : funziona principalmente su server Linux. Fornisce una shell backdoor di root e ha la capacità di rubare credenziali SSH.
  • Linux / Cdorked : funziona principalmente su server Web Linux. Fornisce una shell backdoor e distribuisce il malware di Windows agli utenti finali tramite download drive-by.
  • Linux / Onimiki : gira su server DNS Linux. Risolve i nomi di dominio con un modello particolare su qualsiasi indirizzo IP, senza la necessità di modificare alcuna configurazione lato server.
  • Perl / Calfbot : gira su molte piattaforme supportate da Perl. È un bot spam leggero scritto in Perl.
  • Win32 / Boaxxe.G : un malware per frodi sui clic e Win32 / Glubteta.M, un proxy generico, eseguito su computer Windows. Queste sono le due minacce distribuite tramite download drive-by.

Controlla se il tuo server è una vittima

Se sei un amministratore di sistema, potrebbe valere la pena controllare se il tuo server è vittima di Windingo. ETS fornisce il seguente comando per verificare se un sistema è infettato da uno qualsiasi dei malware Windigo:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected” 

Nel caso in cui il sistema sia infetto, si consiglia di cancellare i computer interessati e reinstallare il sistema operativo e il software. Difficoltà, ma è per garantire la sicurezza.

Raccomandato

7 Cose essenziali da fare dopo l'installazione di Arch Linux
2019
Apache OpenOffice potrebbe essere presto morto e non piangerò nemmeno
2019
Come guardare Netflix su Ubuntu Linux
2019