IT Pro

Windigo: il trojan che agisce inosservato da tre anni

Ha dimensioni gigantesche la campagna di cyber-crime battezzata Operazione Windigo, dal nome della creatura cannibale della mitologia dei nativi Americani Algonchini. L'allarme è stato  lanciato dai ricercatori di ESET, azienda fornitrice globale di software per la sicurezza informatica nota soprattutto per l'antivirus ESET NOD32 che hanno evidenziato come la campagna abbia coinvolto 25mila server Unix a livello globale (1000 server in Italia), di cui 10mila circa attualmente tenuti sotto controllo, con un'infezione di circa 500mila pc al giorno.

Tra le vittime dell’Operazione Windigo anche kernel.org (il sito di distribuzione ufficiale dei sorgenti Linux) e cPanel (tool grafico per la realizzazione e la gestione di siti Internet). I siti Web colpiti da Windigo tentano di infettare i pc in ambiente Windows attraverso exploit kit, mentre gli utenti Mac sono bersagliati da annunci di siti di dating e i possessori di iPhone vengono reindirizzati a contenuti pornografici online.

Per verificare la contaminazione del server i ricercatori di ESET invitano a eseguire il seguente comando:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

"La vasta Operazione Windigo si è sviluppata negli ultimi tre anni, passando quasi inosservata agli occhi della comunità internazionale degli esperti di settore – ha dichiarato Marc-Étienne Léveillé, capo ricercatore ESET – e attualmente ha preso il controllo di 10mila server. Più di 35 milioni di messaggi di spam sono stati inviati ogni giorno ad account di utenti ignari, intasando le caselle di posta e mettendo a rischio i sistemi informatici.  Peggio ancora, ogni giorno oltre mezzo milione di computer è a rischio infezione, nel momento in cui visitano i siti contaminati dall’operazione Windigo, che li reindirizzano verso programmi e pubblicità malevoli ".

L'elenco delle componenti del malware che compongono la minaccia e ulteriori informazioni sull’Operazione Windigo sono disponibili prasso questo LINK .