Linux-botnet bestookt Windows-gebruikers met malware
Ruim 25.000 webservers die werden besmet door Linux-malware, zijn tijdens de afgelopen twee jaar ingezet om surfende Windows-gebruikers met malware te bestoken.
Verschillende Europese beveiligingsonderzoekers raden systeembeheerders aan om hun webservers te controleren op eventuele besmetting door verschillende vormen van Linux-malware, waaronder de rootkit Ebury SSH voor Linux en Unix.
Als die malware op een webserver wordt aangetroffen, betekent dat waarschijnlijk dat de server slachtoffer is gevallen van ‘Operation Windigo’. Die operatie probeert via besmette Linux-servers van populaire website malware te verspreiden naar Windows-eindgebruikers.
[related_article id=”161920″]
De operatie werd blootgelegd door onderzoekers van antivirusfirma ESET, de Duitse CERT-Bund, de Zweedse National Infrastructure for Computing en het CERN. Meer details over Operation Windigo werden gepubliceerd in dit rapport (pdf).
Websites die op een besmette server draaien, sturen bezoekers door naar een gecompromitteerde landingspagina waarop naast valse advertenties ook verschillende exploit kits gehost worden. In september 2013 zouden maar liefst 1 miljoen internetgebruikers per dag naar zo’n landingspagina geloodst worden, al resulteerde maar een fractie daarvan uiteindelijk ook in een besmetting.
Afgaande op een telling van de unieke IP-adressen schommelde het aantal effectieve besmettingen door Ebury tijdens het voorbije jaar tussen 7.700 en 11.110. In totaal hebben de onderzoekers 26.000 besmettingen geobserveerd sinds het begin van hun analyse in mei 2013. De top vijf landen met het meeste aantal besmettingen zijn de Verenigde Staten, Duitsland, Frankrijk, Italië en het Verenigd Koninkrijk.