Video: CookieClickerHack.exe [Viewer-Made Malware #2] (November 2024)
Aanvallers besmetten en namen de controle over meer dan 25.000 Unix-servers om een enorm distributieplatform voor spam en malware te creëren, zei ESET. Linux- en Unix-beheerders moeten onmiddellijk controleren of hun servers tot de slachtoffers behoren.
De bende achter de aanvalscampagne gebruikt de geïnfecteerde servers om inloggegevens te stelen, spam en malware te verspreiden en gebruikers om te leiden naar kwaadaardige sites. De geïnfecteerde servers verzenden elke dag 35 miljoen spamberichten en leiden dagelijks een half miljoen webbezoekers naar kwaadaardige sites, aldus Pierre-Marc Bureau, programmamanager voor beveiligingsinformatie bij ESET. De onderzoekers geloven dat de campagne, Operation Windigo genaamd, in de afgelopen tweeëneenhalf jaar meer dan 25.000 servers heeft gekaapt. De groep heeft momenteel 10.000 servers onder hun beheer, zei Bureau.
ESET heeft een technisch artikel met meer informatie over de campagne uitgebracht en een eenvoudig ssh-commando opgenomen waarmee beheerders kunnen achterhalen of hun servers zijn gekaapt. Als dat het geval is, moeten beheerders het besturingssysteem opnieuw installeren op de geïnfecteerde server en alle referenties wijzigen die ooit zijn gebruikt om in te loggen op de computer. Omdat Windigo gegevens heeft verzameld, moeten beheerders ervan uitgaan dat alle wachtwoorden en privé OpenSSH-sleutels die op die computer worden gebruikt, zijn aangetast en moeten worden gewijzigd, waarschuwde ESET. De aanbevelingen zijn van toepassing op zowel Unix- als Linux-beheerders.
De machine wissen en het besturingssysteem opnieuw installeren vanaf het begin klinkt misschien een beetje extreem, maar gezien het feit dat de aanvallers beheerdersreferenties hadden gestolen, achterdeuren hadden geïnstalleerd en externe toegang hadden gekregen tot de servers, lijkt het noodzakelijk om de nucleaire optie te gebruiken.
Aanval elementen
Windigo vertrouwt op een cocktail van geavanceerde malware om de servers te kapen en te infecteren, waaronder Linux / Ebury, een OpenSSH-achterdeur en credential stealer, evenals vijf andere soorten malware. In één weekend zagen ESET-onderzoekers meer dan 1, 1 miljoen verschillende IP-adressen door de infrastructuur van Windigo voordat ze werden doorgestuurd naar kwaadaardige sites.
Websites die door Windigo zijn gecompromitteerd, hebben op hun beurt geïnfecteerde Windows-gebruikers met een exploitkit die klikfraude en spam die malware verstuurt, toonde twijfelachtige websites voor datingsites aan Mac-gebruikers en stuurden iPhone-gebruikers door naar online pornosites. Bekende organisaties zoals cPanel en kernel.org behoorden tot de slachtoffers, hoewel ze hun systemen hebben schoongemaakt, zei Bureau.
Besturingssystemen die worden getroffen door de spamcomponent zijn Linux, FreeBSD, OpenBSD, OS X en zelfs Windows, aldus Bureau.
Rogue servers
Aangezien drie op de vijf websites ter wereld op Linux-servers draaien, heeft Windigo veel potentiële slachtoffers om mee te spelen. De backdoor die werd gebruikt om de servers te compromitteren, werd handmatig geïnstalleerd en exploiteert slechte configuratie- en beveiligingscontroles, geen softwarekwetsbaarheden in het besturingssysteem, zei ESET.
"Dit aantal is belangrijk als je bedenkt dat elk van deze systemen toegang heeft tot aanzienlijke bandbreedte, opslag, rekenkracht en geheugen", aldus Bureau.
Een handvol met malware geïnfecteerde servers kan veel meer schade aanrichten dan een groot botnet van reguliere computers. Servers hebben over het algemeen betere hardware en verwerkingskracht en hebben snellere netwerkverbindingen dan eindgebruikerscomputers. Bedenk dat de krachtige, gedistribueerde denial of service-aanvallen op verschillende bankwebsites vorig jaar afkomstig waren van geïnfecteerde webservers in datacenters. Als het team achter Windigo ooit van tactiek overschakelt van alleen de infrastructuur gebruiken om spam en malware te verspreiden naar iets nog gemeners, kan de resulterende schade aanzienlijk zijn.
