aufgezeigt, dass das Rootkit in den letzten zweieinhalb Jahren weltweit über 25.000 Server infiziert und mit deren Hilfe bis zu 500.000 Nutzer am Tag mit Spam und Malware bombardiert. Die Forscher haben die Angriffswelle nach einem mythischen Menschenfresser "Operation Windigo" getauft. Wird ein Server mittels Ebury übernommen, versenden die Cyberkriminellen Spam und versuchen, über die dort gehosteten Webseiten Windows-Nutzern Malware mittels eines Exploit-Kits unterzuschieben. Mac-OS-Nutzer bekommen hingegen Werbung für Dating-Webseiten angezeigt und iPhone-Besucher werden auf Pornoseiten weitergeleitet. Sowohl das offizielle Quellcode-Depot für den Linux Kernel (kernel.org) als auch die Webserver-Kontrollsoftware cPanel gehörten zu den Opfern von Operation Windigo. Auf betroffenen Systemen, meist Linux-Webservern, übernimmt das Ebury-Rootkit das SSH-Programm und kompromittiert so den wichtigsten Administrator-Zugang. Durch diese heimtückische Funktion greifen die Angreifer alle Login-Credentials ab, die danach auf dem Server verwendet werden. So können sich die Täter von Server zu Server hangeln.
Ebury – Rootkit greift an
