Meer dan 10000 Unix-servers die zijn geïnfecteerd met Trojan, dagelijks 500.000 computers met risico

Een wijdverbreide cybercrimineelcampagne heeft de controle over meer dan 25.000 Unix-servers over de hele wereld onder controle gekregen, meldde ESET. Deze schadelijke campagne, ook wel genaamd "Operation Windigo", is al jaren aan de gang en maakt gebruik van een combinatie van geavanceerde malwarecomponenten die zijn ontworpen om servers te kapen, de computers die hen bezoeken te infecteren en informatie te stelen.

ESET-beveiligingsonderzoeker Marc-Étienne Léveillé zegt:

"Windigo verzamelt al meer dan twee en een half jaar sterke krachten, grotendeels onopgemerkt door de beveiligingsgemeenschap, en heeft momenteel 10.000 servers in beheer. Meer dan 35 miljoen spam-berichten worden dagelijks verzonden naar accounts van onschuldige gebruikers, waardoor inboxen worden verstopt en computersystemen gevaar lopen. Erger nog, elke dag lopen meer dan een half miljoen computers het risico van infectie, omdat ze websites bezoeken die vergiftigd zijn door malware van de webserver die is geplant door Operatie Windigo die zich richt op kwaadaardige exploitkits en advertenties. "

Natuurlijk is het geld

Het doel van Operatie Windigo is om geld te verdienen door:

  • Spam
  • De computers van webgebruikers infecteren via drive-by downloads
  • Het omleiden van webverkeer naar advertentienetwerken

Afgezien van het verzenden van spam-e-mails, proberen websites die op geïnfecteerde servers worden uitgevoerd, Windows-computers met malware te infecteren via een exploit-kit, Mac-gebruikers ontvangen advertenties voor datingsites en iPhone-bezitters worden omgeleid naar pornografische online-inhoud.

Betekent dit dat het desktop Linux niet infecteert? Ik kan niet zeggen en rapporteren noemt er niets over.

Binnen Windigo

ESET heeft een gedetailleerd rapport gepubliceerd met de onderzoeken en malware-analyse van het team, samen met richtlijnen om te achterhalen of een systeem is geïnfecteerd en instructies om het te herstellen. Volgens het rapport bestaat Windigo Operation uit de volgende malware:

  • Linux / Ebury : werkt voornamelijk op Linux-servers. Het biedt een root backdoor shell en heeft de mogelijkheid om SSH-inloggegevens te stelen.
  • Linux / Cdorked : werkt meestal op Linux-webservers. Het biedt een backdoor-shell en distribueert Windows-malware naar eindgebruikers via drive-by downloads.
  • Linux / Onimiki : werkt op Linux DNS-servers. Het lost domeinnamen met een bepaald patroon op voor elk IP-adres, zonder dat de configuratie aan de server hoeft te worden gewijzigd.
  • Perl / Calfbot : werkt op de meeste Perl-ondersteunde platforms. Het is een lichtgewicht spam-bot geschreven in Perl.
  • Win32 / Boaxxe.G : een klikfraude-malware en Win32 / Glubteta.M, een generieke proxy, uitgevoerd op Windows-computers. Dit zijn de twee bedreigingen die worden gedistribueerd via drive-by download.

Controleer of uw server een slachtoffer is

Als u een sys-beheerder bent, zou het de moeite waard kunnen zijn om te controleren of uw server een Windingo-slachtoffer is. ETS biedt de volgende opdracht om te controleren of een systeem is geïnfecteerd met een van de Windigo-malware:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected” 

Als uw systeem geïnfecteerd is, wordt u geadviseerd om de getroffen computers te wissen en het besturingssysteem en de software opnieuw te installeren. Moeilijk geluk maar het is om de veiligheid te garanderen.

Aanbevolen

LosslessCut is een belachelijk eenvoudige videosnijder voor Linux
2019
Crisis bij Void Linux als hoofdontwikkelaar ontbreekt in actie
2019
Putty installeren op Ubuntu en andere Linux-distributies
2019