Uma coleção de malware desenvolvida para criar uma rede sofisticada de botnets que pode distribuir spam, redirecionar o tráfego da Web e infectar os computadores dos usuários com malware, mantendo em segredo a localização dos criminosos cibernéticos que perpetram os ataques.
Acredita-se que a Operação Windigo tenha crescido nos bastidores nos últimos três anos. Ele ganhou atenção pública em março de 2014, quando a empresa de segurança de software ESET revelou que era responsável por comprometer mais de 25,000 servidores Linux. Em um ponto durante esse tempo, a rede Windigo estava enviando 35 milhões de mensagens de spam diariamente e redirecionando mais de 500,000 visitantes da web para kits de exploração todos os dias, de acordo com a ESET.
A operação Windigo depende principalmente de dois backdoors Linux, Linux / Ebury e Linux / Cdorked, para roubar credenciais de login, comprometer servidores Web e redirecionar o tráfego. Vítimas notáveis da Operação Windigo incluem cPanel, uma plataforma de painel de controle de hospedagem na web popular, e kernel.org.
Como identificar e limpar um sistema comprometido pelo Windigo
Os pesquisadores da ESET batizaram a rede de Windigo em homenagem a uma criatura canibal mítica do folclore Algonquian Native American. A empresa de segurança recomenda que administradores e webmasters executem o seguinte comando para identificar se seu servidor foi comprometido pela Operação Windigo:
$ ssh -G 2> & 1 | grep -e ilegal -e desconhecido> / dev / null && echo Limpeza do sistema || echo System infectado
Os servidores infectados pela Operação Windigo devem ser completamente limpos e ter seu sistema operacional e aplicativos reinstalados. Senhas exclusivas e chaves privadas precisam ser criadas para acesso futuro a um sistema previamente infectado, a fim de ajudar a evitar que o servidor seja comprometido novamente.