Operation Windigo : Linux/Ebury et Linux/Cdorked

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 107769
Inscription : 10 sept. 2005 13:57

Operation Windigo : Linux/Ebury et Linux/Cdorked

par Malekal_morte »

ESET vient de sortir un billet sur son blog pour une opération nommée Windigo qui vise des malwares à destination de serveurs Linux.
D'après l'analyse d'ESET 25000 serveurs ont été touchés ces deux derniers années et 10 000 sont encore actifs.

L'analyse : http://www.welivesecurity.com/2014/03/1 ... -campaign/

La campagne utilise le malware Linux/Ebury qui est une backdoor OpenSSH pour avoir un accès au serveur.

Vous trouvez une analyse ESET de Linux/Ebury sur cette page : http://www.welivesecurity.com/2014/02/2 ... inuxebury/
Ainsi qu'une ancienne analyse très intéressante, sur cette page : http://reverse.put.as/2014/02/05/linuxh ... cdorked-a/

L'accès permet pour cette campagne permet l'installation de deux malwares suivants sur les serveurs :
  • Linux/Cdorked : C'est une HTTP Backdoor - Ce dernier remplace des modules Apache/Nginx et permet la génération d'iframe, soit pour but d'infecter les visiteurs / soit pour rediriger vers des publicités - Présentation : http://www.welivesecurity.com/2013/05/0 ... -affected/
  • Perl/Calfbot : Spambot
Les visiteurs infectés par les exploits sur site WEB sur les serveurs touchés peuvent être infectés par les malwares Win32/Glupteba.M et W32.Boaxxe

Le site Generation-NT avait été touché par le malware Linux/Cdorked courant October 2013 : https://www.malekal.com/2013/10/29/hack- ... darkleech/
On reconnaît bien Win32/Glupteba.M

En Décembre 2013, les sites du réseau Youporn/Tube8 etc aussi : https://twitter.com/malekal_morte/statu ... 4870668288

et Uptobox par le passé : https://www.malekal.com/2013/03/23/uptob ... d-spambot/

Comme vous pouvez le voir de gros sites, malheureusement on tombe régulièrement sur des sites infectés.

Pour les plus curieux, une vidéo de Sébastien Duquette (ESET) à la conférence de botnetfr concernant cette infection : http://www.dailymotion.com/video/x1aoj6 ... rvers_tech
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 107769
Inscription : 10 sept. 2005 13:57

Re: Operation Windigo : Linux/Ebury et Linux/Cdorked

par Malekal_morte »

L'auteur du malware Linux/Ebury a été arrété en Finlande en Janvier 2016.

Il s'agit d'un Russe de 41 ans.
Comme évoqué précédemment, la campagne a permis de générer du clickfraud a travers des redirections lors de visites de sites WEB, mais aussi, du spam avec un débit d'environ 35 millions de mails par jour.
Les revenus se chiffrent en millions.

source : https://www.eset.com/us/about/newsroom/ ... ds-guilty/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 107769
Inscription : 10 sept. 2005 13:57

Re: Glupteba ne vient plus par Windigo

par Malekal_morte »

Le malware Glupteba n'est plus distribué à travers Windigo mais utilise MSIL/Adware.CsdiMonetize.
Ce dernier installe aussi des adwares et Trojan miner.
CsDiMonetize est une plateforme de distribution de PUP sous couvert de cracks.
Eset vient de publier un article, toutefois, c'est relativement ancien puisqu'en 2016 : https://twitter.com/malekal_morte/statu ... 3749795841
Glupteba-PUP.png
Ce dernier avait été abordé sur la page : https://www.malekal.com/en-pups-by-crackskeygen/

Glupteba constitue donc son propre botnet qui sert en autre de relai proxy.

source : ESET : Glupteba is no longer part of Windigo
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »