Операция Windigo или масштабная атака на веб-сервера


Операция Windigo - комплексная кампания, которая ориентирована на захват веб-серверов, заражение посещающих их компьютеров, генерацию спам-писем и кражу конфиденциальных данных.

Атака направлена на веб-серверы, работающие под управлением Linux (т.е. свыше 60% рынка серверов), а также на пользовательские устройства на базе Windows, Mac OS X и iOS (iPhone). Согласно анализу, вредоносная кампания не имеет аналогов по сложности, возможностей инфраструктуры и масштаба заражения.

Windigo набирал силу на протяжении двух с половиной лет, при этом оставаясь незамеченным специалистами по информационной безопасности. В настоящее же время, под контролем злоумышленников около 10 тыс. веб-серверов, с которых каждый день отправляется пользователям свыше 35 млн. спам-писем, тем самым засоряя их почтовые ящики и подвергая операционные системы риску заражения.

Кроме всего прочего, под угрозой заражения находятся свыше 500 тыс. компьютеров ежедневно, т.к. их пользователи посещают сайты под управлением инфицированных Windigo веб-серверов, которые перенаправляют жертв на вредоносный контент.

За весь свой период существования данная кампания расширилась довольно серьезно, позволив киберпреступникам установить контроль над рекордным числом веб-серверов – около 25 тыс. машин.

Стало известно, что за генерацию спама отвечает несколько вредоносных программ:

  • Perl/Calfbot;
  • Win32/Glupteba.M;
  • Linux/Ebury.


При этом генерировать спам могли как зараженные серверы (зараженные Perl/Calfbot и Linux/Ebury), так и рабочие станции (зараженные Win32/Glupteba.M).

Веб-сайты, обслуживающиеся зараженными Windigo серверами, перенаправляют пользователя на потенциально опасный контент в зависимости от установленной операционной системы. Например, пользователи компьютеров:

  • с Windows - заражаются вредоносным ПО, использующим уязвимость в браузере или плагине к нему;
  • с Mac OS X - перенаправляются на сайт знакомств;
  • с iOS (iPhone) – перенаправляются на страницу с порнографическим контентом.

Raspred OS polzov stavshih jertvami sites s LinuxCdorked
Распределение ОС пользователей, ставших жертвами веб-сайтов, скомпрометированных Linux/Cdorked