Seguridad

El ataque a hostings Windigo afecta desde 2011 a diversas plataformas

El ataque a hostings Windigo afecta desde 2011 a diversas plataformas
Escrito por Redacción TICbeat

Una ‘botnet’ que funciona desde 2011 ha infectado a más de 25.000 servidores de hosting, desde los que roba credenciales, redirige a los usuarios a webs maliciosas y realiza campañas masivas de envío de ‘spam’.

Mientras el mundo se sigue estremeciendo ante la virulencia de Heartbleed, la compañía ESET ha informado de la existencia de una campaña, conocida ya como Windigo, que podría haber afectado a más de 25.000 servidores de hosting en los últimos dos años y que envía malware a todo tipo de sistemas operativos.

Según ha informado el Instituto Nacional de las Tecnologías de la Comunicación (Inteco) en una entrada de blog, más de 10.000 servidores de alojamiento podrían continuar infectados. Los ciberdelincuentes responsables de la campaña los estarían utilizando para robar credenciales, redirigir a los a usuarios a webs de contenido malicioso y realizar envíos masivos de spam.

Windigo rentabiliza su actividad mayoritariamente a través de la redirección a sitios que muestran publicidad, al igual que mediante el envío de mensajes no solicitados; en los cuales se hace referencia a casinos, bonificaciones o citas online. Inteco advierte de que, aunque la mayor parte de estos mensajes contienen palabras como “dar de baja” y “reportar”, que suelen conducir a un mensaje de baja completada, es altamente probable que “estas peticiones sean registradas como correos electrónicos válidos para posteriores usos”.

El Instituto avisa, además, de que “se está incrementando el número de amenazas sofisticadas que tienen como objetivo el ataque a distintas plataformas”, e informa de que en el futuro “es más que probable que sigamos viendo malware de estas características y otras de mayor complejidad”.

Numerosos incidentes detectados desde 2011

Desde 2011 se habían producido numerosos compromisos en servicios de hosting, pero no se había encontrado un patrón que resultara esclarecedor para todos los incidentes. ESET ha realizado un estudio en colaboración con la Organización Nacional Sueca de Computación, la Organización Europea para la Investigación Nuclear y otros organismos a nivel internacional gracias al cual se ha dado a conocer esta operación, que ha comprometido a miles de servidores Linux y Unix.

La investigación arrancó a principios de 2012, cuando ESET estaba analizando un malware cuyo objetivo era atacar servidores Linux. Desde entonces, se han hallado 26.024 direcciones IP únicas infectadas por una botnet que funciona, al menos, desde 2011. El malware ha llegado a afectar a webs de la Fundación Linux, como Cpanel y Kernel.org.

Los autores han aprovechado deficiencias conocidas en Linux para construir una botnet que ha sido capaz de comprometer a una amplia gama de sistemas operativos, entre los que figuran Apple OS X, Windows, Android y Blackberry, siendo los más afectados Windows XP (182.329 agentes de usuario) y Windows 8 (51.020). Esta botnet ya ha afectado a más de 10.000 usuarios en Estados Unidos, casi 2.500 en Alemania, más de 1.400 en Francia y en torno a 1.000 en Italia y Reino Unido.

Foto cc: miniyo73

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.