毎日10万台以上のUnixサーバーがトロイの木馬に感染し、毎日500,000台のコンピューターが危険にさらされています

ESETによると、広範なサイバー犯罪者によるキャンペーンが世界中で25, 000を超えるUnixサーバーの支配権を奪っています。 「Operation Windigo」と呼ばれるこの悪意のあるキャンペーンは何年も続いており、サーバーをハイジャックし、それらを訪問するコンピューターに感染させ、情報を盗むように設計された洗練されたマルウェアコンポーネントの関連性を使用します。

ESETのセキュリティ研究者Marc-ÉtienneLéveilléは次のように述べています。

「Windigoは、2年半以上にわたってセキュリティ業界ではほとんど気づかれずに力を集めてきました。現在、10, 000台のサーバーを管理しています。 毎日3, 500万件を超えるスパムメッセージが罪のないユーザーのアカウントに送信され、受信トレイを詰まらせ、コンピュータシステムを危険にさらしています。 さらに悪いことに、毎日50万台を超えるコンピュータが Operation Windigoによって植え付けられたWebサーバーのマルウェアによって悪用されたWebサイトにアクセスし、悪質なエクスプロイトキットや広告にリダイレクトされるため、毎日感染の危険にさらされています。

もちろん、それはお金です

ウィンディゴ作戦の目的は、以下を通じて収入を得ることです。

  • スパム
  • ドライブバイダウンロードによるWebユーザーのコンピュータへの感染
  • Webトラフィックを広告ネットワークにリダイレクトする

スパムメールの送信とは別に、感染したサーバーで実行されているWebサイトはエクスプロイトキットを介して訪問するWindowsコンピュータにマルウェアを感染させようと試み、Macユーザーには出会い系サイトの広告を提供します。

デスクトップLinuxに感染しないという意味ですか? 私はそれについて何も言及しないと言って報告することはできません。

インディゴウィンディゴ

ESETは、システムが感染しているかどうかを確認するためのガイダンスとそれを回復するための指示とともに、チームの調査とマルウェア分析に関する詳細なレポートを発行しました。 レポートによると、Windigo Operationは次のマルウェアで構成されています。

  • Linux / Ebury :主にLinuxサーバー上で動作します。 これはルートバックドアシェルを提供し、SSH認証情報を盗むことができます。
  • Linux / Cdorked :主にLinux Webサーバー上で動作します。 これはバックドアシェルを提供し、ドライブバイダウンロードを介してエンドユーザにWindowsマルウェアを配布します。
  • Linux / Onimiki :Linux DNSサーバー上で動作します。 特定のパターンのドメイン名を任意のIPアドレスに解決します。サーバー側の設定を変更する必要はありません。
  • Perl / Calfbot :Perlがサポートするほとんどのプラットフォームで動作します。 これはPerlで書かれた軽量のスパムボットです。
  • Win32 / Boaxxe.G :クリック詐欺マルウェア、およびWin32 / Glubteta.M(汎用プロキシ)がWindowsコンピュータで実行されます。 これらは、ドライブバイダウンロードによって配布される2つの脅威です。

サーバーが被害を受けているかどうかを確認してください

あなたがシステム管理者であれば、それはあなたのサーバがWindingoの犠牲者であるかどうかをチェックする価値があるかもしれません。 システムがWindigoマルウェアのいずれかに感染しているかどうかを確認するために、ETSは次のコマンドを提供します。

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected” 

システムが感染している場合は、感染したコンピュータを拭いてオペレーティングシステムとソフトウェアを再インストールすることをお勧めします。 頑張っても安全を確保するためです。

推奨されます

Ubuntu LinuxにPandoraラジオクライアントPithosをインストールする
2019
Linuxでapt-getコマンドを使用する
2019
イリジウムブラウザ:プライバシーを意識したブラウザ
2019