Os investigadores da ESET, em colaboração com o CERT-Bund e outras agências de segurança, descobriram uma campanha criminosa a nível global que já rendeu o controlo de 25.000 servidores Unix em todo o mundo.
O ataque, batizado de “Operação Windigo”, está a resultar em diversos servidores infectados que estão a enviar milhões de e-mails falsos por dia.
O conjunto de componentes sofisticados deste malware tem como principal objectivo penetrar nos servidores, infectar os computadores que os visitam e roubarem informações confidenciais.
Na lista de vitimas da operação Windigo já se encontram os famosos cPanel and kernel.org.
Apesar de alguns especialistas terem detectado elementos pontuais da campanha criminosa Windigo, a dimensão e a complexidade desta operação manteve-se praticamente despercebida.
“O Windigo foi ganhando força e em grande parte foi passando despercebido durante cerca de dois anos e meio, controlando actualmente mais de 10.000 servidores”, afirma o investigador de segurança da ESET, Marc-Étienne Léveillé. “Mais de 35 milhões de mensagens de spam estão a ser enviadas todos os dias para as caixas de correio de utilizadores inocentes, entupindo as mesmas e colocando os computadores em risco. Em paralelo, a cada dia que passa, mais de meio milhão de computadores estão em perigo pelo facto dos utilizadores visitarem páginas que se encontram alojadas em servidores infectados por este malware e que os redireccionam para sites de publicidade e kits de exploits”.
Curiosamente, embora os utilizadores com sistemas operativos Windows sejam infectados através de páginas com kits de exploits, os utilizadores Mac são apenas bombardeados com publicidade, ou redireccionados para sites pornográficos, no caso de estarem a navegar num iPhone.
Mais de 60% dos sites em todo o mundo estão alojados em servidores Linux, sendo que os investigadores da ESET estão a apelar aos webmasters e administradores de sistemas para que verifiquem os servidores e computadores.
Para saber se um servidor está infectado, ou não, será necessário executar-se o seguinte comando:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “sistema limpo” || echo “sistema infectado”
Mediante o caso, o utilizador irá receber uma mensagem indicando que o sistema está infectado ou que o mesmo se encontra limpo.
A backdoor Ebury, utilizada pelo Windigo, não explora uma vulnerabilidade no Linux ou OpenSSH, sendo ao invés disso, instalada manualmente por um cibercriminoso. O facto dos cibercriminosos terem efectuado esta operação em dezenas de milhares de servidores diferentes é arrepiante.
Se os responsáveis de TI descobrirem que os seus sistemas estão infectados, deverão limpar de imediato os computadores infectados e reinstalar o sistema operativo e software. É essencial que as palavras-passe que eram utilizadas sejam mudadas, uma vez que deverão estar comprometidas.
Mais informações podem ser encontradas no documento técnico disponível em http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf
