Recientemente, varios investigadores en seguridad presentaron un documento que describe una operación larga y compleja, denominada “Operación Windigo”. Desde 2011, año en que comenzó esta campaña, más de 25,000 servidores Linux y Unix han sido comprometidos para obtener las credenciales Secure Shell (SSH) con el fin de redireccionar a los usuarios web hacia contenido malicioso y para distribuir spam. Organizaciones muy conocidas, como cPanel y Fundación Linux han sido confirmadas como víctimas. Los sistemas operativos que han sido blanco de estos ataques incluyen a OS X, OpenBSD, FreeBSD, Microsoft Windows y varias distribuciones de Linux. El documento señala que Windigo es responsable de enviar diariamente un promedio de 35 millones de mensajes spam. Adicionalmente, más de 700 servidores Web han redireccionado a más de 500,000 visitantes diariamente hacia contenidos maliciosos.
Este documento enlista tres principales componentes maliciosos (detección de nombres de ESET):
• Linux/Ebury – un backdoor OpenSSH que se utiliza para controlar servidores y robar credenciales.
• Linux/Cdorked – un backdoor HTTP utilizado para redireccionar tráfico Web.
• Perl/Calfbot – un script Perl utilizado para enviar spam.
Las consistentes campañas de los agresores se han convertido en algo común. Con los recursos adecuados, motivación y deseo, quienes atacan pueden obtener recompensas importantes por estas acciones. Dichas actividades tienen el objetivo de atacar organizaciones específicas para identificar y filtrar información delicada, pero el objetivo nuevamente ha sido económico, a través de redirecciones Web, spam y descargas automáticas.
Protección de Symantec
Los clientes de Symantec están protegidos contra el malware utilizado en la Operación Windigo con las siguientes firmas:
AV
- Backdoor.Trojan
- Linux.Cdorked
- Linux.SSHKit
- Linux.SSHKit!gen1
- Trojan.Dropper
- Trojan.Tracur!gen5
- Trojan.Tracur!gen8
IPS
Más información sobre la investigación acerca de la Operación Windigo está disponible en el blog de ESET.