Windigo não faz distinção entre Linux, Windows ou Mac. A botnet já tomou o controle de mais de 25 mil servidores Linux e Unix em todo mundo e mais de 500 mil equipamentos com sistemas operacionais Windows e MAC. Só no Brasil, já foram registrados 900 servidores afetados.
A rede de computadores zumbis foi descoberta pelo laboratório de investigações da ESET, em parceria com uma força-tarefa internacional formada pela CERT-Bund, a Swedish National Infrastructure for Computing e outros. Segundo as análises, após serem contaminados, os servidores podem enviar até 35 milhões de mensagens de spam publicitário diariamente e assim podem infectar até mais de 500 mil usuários.
A rede não é nova e já está operando há pelo menos dois anos e meio. O grupo responsável utiliza a botnet para furtar credenciais de autenticação, redirecionar tráfego para sites contaminados e propagar mensagens de spam.
Windigo é capaz de alterar seu método de infecção de acordo com o sistema operacional onde reside. Usuários de Windows são vítimas de furto de informação através de exploits enquanto máquinas Mac exibem popups de sites de relacionamento comprometidos.
Segundo a ESET, é possível identificar facilmente se um sistema UNIX foi infectado utilizando a linha de comando a seguir:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
A recomendação da empresa é formatar os servidores afetados, reinstalar o sistema operacional e os programas anteriores e trocar todas as senhas para alternativas mais robustas para assegurar que não haja uma nova contaminação. Mais informações estão disponíveis no Whitepaper publicado pela ESET (PDF – em inglês).
