Operation Windigo : Linux/Ebury et Linux/Cdorked

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90488
Inscription : 10 sept. 2005 13:57
Contact :

Operation Windigo : Linux/Ebury et Linux/Cdorked

Message par Malekal_morte » 18 mars 2014 17:39

ESET vient de sortir un billet sur son blog pour une opération nommée Windigo qui vise des malwares à destination de serveurs Linux.
D'après l'analyse d'ESET 25000 serveurs ont été touchés ces deux derniers années et 10 000 sont encore actifs.

L'analyse : http://www.welivesecurity.com/2014/03/1 ... -campaign/

La campagne utilise le malware Linux/Ebury qui est une backdoor OpenSSH pour avoir un accès au serveur.

Vous trouvez une analyse ESET de Linux/Ebury sur cette page : http://www.welivesecurity.com/2014/02/2 ... inuxebury/
Ainsi qu'une ancienne analyse très intéressante, sur cette page : http://reverse.put.as/2014/02/05/linuxh ... cdorked-a/

L'accès permet pour cette campagne permet l'installation de deux malwares suivants sur les serveurs :
  • Linux/Cdorked : C'est une HTTP Backdoor - Ce dernier remplace des modules Apache/Nginx et permet la génération d'iframe, soit pour but d'infecter les visiteurs / soit pour rediriger vers des publicités - Présentation : http://www.welivesecurity.com/2013/05/0 ... -affected/
  • Perl/Calfbot : Spambot
Les visiteurs infectés par les exploits sur site WEB sur les serveurs touchés peuvent être infectés par les malwares Win32/Glupteba.M et W32.Boaxxe

Le site Generation-NT avait été touché par le malware Linux/Cdorked courant October 2013 : https://www.malekal.com/2013/10/29/hack- ... darkleech/
On reconnaît bien Win32/Glupteba.M

En Décembre 2013, les sites du réseau Youporn/Tube8 etc aussi : https://twitter.com/malekal_morte/statu ... 4870668288

et Uptobox par le passé : https://www.malekal.com/2013/03/23/uptob ... d-spambot/

Comme vous pouvez le voir de gros sites, malheureusement on tombe régulièrement sur des sites infectés.

Pour les plus curieux, une vidéo de Sébastien Duquette (ESET) à la conférence de botnetfr concernant cette infection : http://www.dailymotion.com/video/x1aoj6 ... rvers_tech


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90488
Inscription : 10 sept. 2005 13:57
Contact :

Re: Operation Windigo : Linux/Ebury et Linux/Cdorked

Message par Malekal_morte » 29 mars 2017 22:56

L'auteur du malware Linux/Ebury a été arrété en Finlande en Janvier 2016.

Il s'agit d'un Russe de 41 ans.
Comme évoqué précédemment, la campagne a permis de générer du clickfraud a travers des redirections lors de visites de sites WEB, mais aussi, du spam avec un débit d'environ 35 millions de mails par jour.
Les revenus se chiffrent en millions.

source : https://www.eset.com/us/about/newsroom/ ... ds-guilty/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90488
Inscription : 10 sept. 2005 13:57
Contact :

Re: Glupteba ne vient plus par Windigo

Message par Malekal_morte » 31 mars 2018 13:50

Le malware Glupteba n'est plus distribué à travers Windigo mais utilise MSIL/Adware.CsdiMonetize.
Ce dernier installe aussi des adwares et Trojan miner.
CsDiMonetize est une plateforme de distribution de PUP sous couvert de cracks.
Eset vient de publier un article, toutefois, c'est relativement ancien puisqu'en 2016 : https://twitter.com/malekal_morte/statu ... 3749795841
Glupteba-PUP.png
Le malware Glupteba distribué en mode PUP
Ce dernier avait été abordé sur la page : https://www.malekal.com/en-pups-by-crackskeygen/

Glupteba constitue donc son propre botnet qui sert en autre de relai proxy.

source : ESET : Glupteba is no longer part of Windigo
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »