Vídeo: Steam Spam SCR Virus Update (Outubro 2024)
Os invasores infectaram e assumiram o controle de mais de 25.000 servidores Unix para criar uma enorme plataforma de distribuição de spam e malware, disse a ESET. Os administradores de Linux e Unix precisam verificar imediatamente se seus servidores estão entre as vítimas.
A turma por trás da campanha de ataque usa os servidores infectados para roubar credenciais, distribuir spam e malware e redirecionar usuários para sites maliciosos. Os servidores infectados enviam 35 milhões de mensagens de spam por dia e redirecionam meio milhão de visitantes da Web para sites maliciosos diariamente, disse Pierre-Marc Bureau, gerente de programa de inteligência de segurança da ESET. Os pesquisadores acreditam que a campanha, batizada de Operação Windigo, sequestrou mais de 25.000 servidores nos últimos dois anos e meio. Atualmente, o grupo tem 10.000 servidores sob seu controle, afirmou o Bureau.
A ESET lançou um documento técnico com mais detalhes sobre a campanha e incluiu um comando ssh simples que os administradores podem usar para descobrir se seus servidores foram invadidos. Se esse for o caso, os administradores deverão reinstalar o sistema operacional no servidor infectado e alterar todas as credenciais já usadas para efetuar login na máquina. Como as credenciais coletadas pelo Windigo, os administradores devem assumir que todas as senhas e chaves OpenSSH privadas usadas nessa máquina estão comprometidas e devem ser alteradas, alertou a ESET. As recomendações se aplicam aos administradores Unix e Linux.
Limpar a máquina e reinstalar o sistema operacional a partir do zero pode parecer um pouco extremo, mas, considerando que os invasores roubaram credenciais de administrador, instalaram backdoors e obtiveram acesso remoto aos servidores, a opção nuclear parece necessária.
Elementos de ataque
O Windigo conta com um coquetel de malware sofisticado para seqüestrar e infectar os servidores, incluindo Linux / Ebury, um backdoor OpenSSH e ladrão de credenciais, além de cinco outros tipos de malware. No decorrer de um único final de semana, os pesquisadores da ESET observaram mais de 1, 1 milhão de endereços IP diferentes passando pela infraestrutura do Windigo antes de serem redirecionados para sites maliciosos.
Os sites comprometidos pelo Windigo, por sua vez, infectaram os usuários do Windows com um kit de exploração que aplica fraudes por clique e malware para envio de spam, exibindo s questionáveis para sites de namoro para usuários de Mac e redirecionando usuários do iPhone para sites de pornografia online. Organizações conhecidas como cPanel e kernel.org estavam entre as vítimas, embora tenham limpado seus sistemas, disse o Bureau.
Os sistemas operacionais afetados pelo componente de spam incluem Linux, FreeBSD, OpenBSD, OS X e até Windows, informou o Bureau.
Servidores não autorizados
Considerando que três em cada cinco sites do mundo estão sendo executados em servidores Linux, o Windigo tem muitas vítimas em potencial para brincar. O backdoor usado para comprometer os servidores foi instalado manualmente e explora os fracos controles de configuração e segurança, não as vulnerabilidades de software no sistema operacional, disse a ESET.
"Esse número é significativo se você considerar que cada um desses sistemas tem acesso a largura de banda significativa, armazenamento, capacidade de computação e memória", afirmou o Bureau.
Um punhado de servidores infectados por malware pode causar muito mais danos do que uma grande rede de bots de computadores comuns. Os servidores geralmente têm melhor capacidade de hardware e processamento e conexões de rede mais rápidas que os computadores dos usuários finais. Lembre-se de que os poderosos ataques distribuídos de negação de serviço contra vários sites bancários no ano passado se originaram de servidores Web infectados em data centers. Se a equipe por trás do Windigo alternar as táticas de usar apenas a infraestrutura para espalhar spam e malware para algo ainda mais desagradável, o dano resultante poderá ser significativo.
