O conjunto de componentes sofisticados deste malware tem como principal objetivo penetrar nos servidores, infetar os computadores que os visitam e roubarem informações confidenciais.

Na lista de vítimas da operação Windigo já se encontram os famosos cPanel and kernel.org.

Apesar de alguns especialistas terem detetado elementos pontuais da campanha criminosa Wendigo, a dimensão e a complexidade desta operação manteve-se praticamente despercebida.

“O Wendigo foi ganhando força e em grande parte foi passando despercebido durante cerca de dois anos e meio, controlando atualmente mais de 10.000 servidores”, afirma o investigador de segurança da ESET, Marc-Étienne Léveillé. "Mais de 35 milhões de mensagens de spam estão a ser enviadas todos os dias para as caixas de correio de utilizadores inocentes, entupindo as mesmas e colocando os computadores em risco. Em paralelo, a cada dia que passa, mais de meio milhão de computadores estão em perigo pelo facto dos utilizadores visitarem páginas que se encontram alojadas em servidores infetados por este malware e que os redirecionam para sites de publicidade e kits de exploits”.

Curiosamente, embora os utilizadores com sistemas operativos Windows sejam infetados através de páginas com kits de exploits, os utilizadores Mac são apenas bombardeados com publicidade, ou redirecionados para sites pornográficos, no caso de estarem a navegar num iPhone.

Mais de 60% dos sites em todo o mundo estão alojados em servidores Linux, sendo que os investigadores da ESET estão a apelar aos webmasters e administradores de sistemas para que verifiquem os servidores e computadores.

Para saber se um servidor está infetado, ou não, será necessário executar-se o seguinte comando:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “sistema limpo" || echo “sistema infetado"

Mediante o caso, o utilizador irá receber uma mensagem indicando que o sistema está infetado ou que o mesmo se encontra limpo.

A backdoor Ebury, utilizada pelo Windigo, não explora uma vulnerabilidade no Linux ou OpenSSH, sendo ao invés disso, instalada manualmente por um cibercriminoso. O facto de os cibercriminosos terem efetuado esta operação em dezenas de milhares de servidores diferentes é arrepiante.

Se os responsáveis de TI descobrirem que os seus sistemas estão infetados, deverão limpar de imediato os computadores infetados e reinstalar o sistema operativo e software. É essencial que as palavras-passe que eram utilizadas sejam mudadas, uma vez que deverão estar comprometidas.