หลังจากมัลแวร์ WireLurker ที่แพร่ระบาดไปกับแอพบน OS X และติดต่อไปยังอุปกรณ์ iOS ผ่านการเชื่อมต่อ USB โดยอาศัยจุดอ่อนจากช่องโหว่ Masque Attack ได้ถูกตรวจพบมานานนับสัปดาห์ ตอนนี้ทางการจีนก็มีการสืบสาวราวเรื่องและได้เข้าจับกุมชาวจีน 3 ราย ในฐานะผู้ต้องสงสัยว่าอยู่เบื้องหลังเหตุการณ์ระบาดของมัลแวร์ WireLurker ในหมู่ผู้ใช้ผลิตภัณฑ์ Apple ในประเทศจีน

วันนี้เป็นวันแรกที่หนังสือ Countdown to Zero Day โดย Kim Zetter นักข่าวของ Wired วางจำหน่าย หนังสือรายงานถึงการสอบสวนที่มาของเวิร์ม Stuxnet ที่มุ่งโจมตีโครงการนิวเคลียร์ของอิหร่านอย่างเจาะจง วันนี้บริษัทความปลอดภัยหลายแห่งก็รายงานข้อมูลบางส่วนจากหนังสือเล่มนี้

Kaspersky ออกรายงานการโจมตีเครือข่าย Wi-Fi ของโรงแรมหลายแห่ง โดยพยายามติดตั้งมัลแวร์ลงในเครื่องของเหยื่อด้วยการดาวน์โหลดอัพเดตปลอมที่อ้างว่าเป็นอัพเดตของ GoogleToolbar, Adobe Flash, หรือ Windows Messenger

ความพิเศษของ Darkhotel คือการเลือกเหยื่อมีการเลือกอย่างเจาะจงไม่ใช่การหว่านแหทั่วไป เหยื่อที่ถูกติดตามเมื่อพยายามล็อกอินเพื่อเข้าใช้งาน Wi-Fi จะได้รับ iframe พิเศษเพื่อล่อให้ติดตั้งซอฟต์แวร์ ขณะที่ระบบตรวจสอบไม่สามารถล่อให้ Darkhotel แสดง iframe เหมือนที่แสดงกับเหยื่อได้ แม้จะยังสรุปแน่ชัดไม่ได้แต่ทีมงาน Kaspersky ระบุว่ามันบ่งชี้ว่ามีการใช้ข้อมูลการเช็คอินโรงแรมเพื่อเลือกเหยื่อ

บริษัทความปลอดภัยหลายแห่งออกมาเตือนว่าพบไวรัสบน Android ที่ติดแล้วจะส่งลิงก์ดาวน์โหลดไวรัสทาง SMS ไปยังเพื่อนๆ ของเรา ไวรัสตัวนี้เคยระบาดเมื่อเดือนมิถุนายนที่ผ่านมา และกลับมาระบาดอีกครั้งช่วงนี้

บริษัท Sophos ตั้งชื่อไวรัสตัวนี้ว่า Andr/Slfmite-B (ของเดิมคือ Andr/Slfmite-A) มันจะปลอมไอคอนเป็นแอพ Google+ (ใช้ไอคอนสีดำ ไม่ตรงกับไอคอน Google+ ที่เป็นสีแดง) เมื่อติดตั้งตัวเองแล้ว มันจะติดต่อกับเซิร์ฟเวอร์ของแฮ็กเกอร์เพื่อขอคำสั่ง ซึ่งคำสั่งที่เป็นไปได้คือการอ่านเบอร์โทรศัพท์ในสมุดที่อยู่ แล้วส่ง SMS ที่มีลิงก์ดาวน์โหลดไวรัสตัวนี้ไปให้เพื่อนๆ เรา นอกจากนี้ ไวรัสยังจะวางไอคอนลิงก์เข้าเว็บไว้บนหน้าโฮม ซึ่งเจ้าของไวรัสจะได้เงินเมื่อผู้ใช้คลิกที่ไอคอนนั้นด้วย

บริษัทความปลอดภัย Kaspersky รายงานการค้นพบมัลแวร์ชื่อ "Tyupkin" ที่ถูกฝังในตู้ ATM ในรัสเซียและยุโรปตะวันออกรวมแล้วกว่า 50 ตู้ และน่าจะระบาดมายังประเทศอื่นๆ ด้วย

มัลแวร์ตัวนี้จะมีผลกับตู้ ATM ที่รัน Windows แบบ 32 บิต และจะทำงานเฉพาะตอนกลางคืนในช่วงเวลาที่กำหนดเท่านั้น แฮ็กเกอร์หรือคนในขบวนการจะเดินมาที่ตู้และกดรหัสที่จะสุ่มทุกครั้ง จากนั้นจะทราบยอดเงินคงเหลือในตู้ และสามารถกดธนบัตรออกไปได้ 40 ใบต่อครั้งโดยไม่ต้องเสียบบัตรใดๆ

พฤติกรรมของมัลแวร์ตัวนี้ทำให้จับได้ยากมาก เพราะมันจะทำงานต่อเมื่อกดรหัสในช่วงเวลาที่กำหนดเท่านั้น และไม่แสดงพฤติกรรมผิดปกติใดๆ ถ้าไม่เข้าเงื่อนไขนี้

Dr.Web บริษัทความปลอดภัยของรัสเซีย รายงานว่าพบมัลแวร์ตัวใหม่ชื่อ Mac.BackDoor.iWorm แพร่ระบาดในคอมพิวเตอร์ OS X มากกว่า 17,000 เครื่องแล้ว (นับเป็นจำนวนไอพี)

มัลแวร์ตัวนี้จะติดตั้งตัวเองลงในไดเรคทอรี /Library/Application Support/JavaW และวางประตูหลัง (backdoor) เพื่อให้แฮกเกอร์สามารถสั่งงานคอมพิวเตอร์เครื่องนั้นได้ในภายหลัง (ทำเป็น botnet) เครื่องที่ติดมัลแวร์สามารถถูกขโมยข้อมูล และใช้เป็นฐานการโจมตีเครื่องอื่นๆ ได้

ถ้ายังจำกันได้ ในปี 2012 เคยมีการแพร่ระบาดของมัลแวร์ Flashback ที่ติดเครื่องแมคมากถึงเกือบ 600,000 เครื่อง

ที่มา - Dr.Web

Lacoon Mobile Security บริษัทวิจัยด้านความปลอดภัยสำหรับอุปกรณ์พกพาจากอิสราเอล ระบุว่าตรวจพบมัลแวร์ตัวใหม่ที่มีชื่อว่า "Xsser" ซึ่งสามารถติดได้จากเครื่องที่ใช้ Android และ iOS และเชื่อว่าเป้าหมายของการโจมตีของมัลแวร์ตัวนี้ คือผู้ชุมนุมประท้วงที่เขตปกครองพิเศษฮ่องกง ซึ่งกำลังดำเนินไปอยู่ในขณะนี้

Signature Systems ผู้ผลิตระบบชำระเงิน ณ จุดขาย (Point-of-Sale - POS) ออกประกาศเตือนลูกค้าว่ามีมัลแวร์ที่ออกแบบมาสำหรับเครื่อง POS ของบริษัทโดยเฉพาะกำลังระบาด

มัลแวร์ออกแบบมาเพื่อเก็บข้อมูลชื่อผู้ถือบัตรเครดิต, หมายเลขบัตร, วันที่หมดอายุ, และหมายเลขยืนยันบัตรในแถบแม่เหล็ก (CVV1 เป็นคนละเลขกับหลังบัตรที่เป็น CVV2) โดยความเสี่ยงเริ่มตั้งแต่กลางเดือนมิถุนายนที่ผ่านมาและบริษัทสามารถจัดการล้างมัลแวร์ออกได้ทั้งหมดเมื่อกลางเดือนกันยายน

ร้านค้าที่ได้รับผลกระทบจากมัลแวร์นี้รวมทั้งหมด 324 ร้าน เป็นเครือร้าน Jimmy John เครือเดียวไป 216 ร้าน

ความน่ากลัวของคนทำเว็บในตอนนี้คือหากมีใครใส่ภาพหรือ iframe จากเว็บที่มีมัลแวร์ Chrome จะบล็อคเว็บที่ใช้ภาพเหล่านั้นไปด้วยเพื่อป้องกันผู้ใช้ ฟีเจอร์นี้มีมาตั้งแต่ Chrome รุ่นแรกๆ และมีการถกเถียงมาตลอดเวลาเป็นมาตรการที่สมเหตุสมผลหรือไม่ โดยมีการพูดคุยกันในทีมงาน Chrome เองในบั๊ก 16245

สิ่งที่แย่ที่สุดของฤดูที่เปลี่ยนแปลงคือ ไวรัสหวัด หรือหวัดธรรมดาๆที่ทำให้ใครๆล้มทั้งยืนมาแล้ว

อีกหนึ่งไวรัสที่ขโมยซีนไปอย่างรวดเร็วเมื่อไม่นานมานี้คงจะหนีไม่พ้นไวรัสจาก SMS โปรแกรมไวรัสที่ จ้องโจมตีระบบคืบคลานและเจาะเข้าไปในทุกอณูของคอมพิวเตอร์หรือสมาร์ทโฟนของคุณ มัลแวร์ชนิดนี้ มีเพียงความต้องการเดียวเท่านั้น และยังเป็นสิ่งที่มันทำได้ดีสุดๆอีกด้วย นั่นก็คือการขโมยข้อมูลนั่นเอง

ลองนึกถึงข้อมูลในมือถือของคุณนับร้อยอย่างนั้นนอกจากรายชื่อผู้ติดต่อแล้วยังมีรหัสผ่านที่คุณใช้เข้าโลกโซเชียลต่างๆนับไม่ถ้วน รวมไปถึง cloud drive บัญชีธนาคาร บัตรเครดิต และความเป็นส่วนตัวอีกหลายต่อหลายอย่างที่จะทำให้คุณอยากจะโกนหัวตัวเองเลยก็ว่าได้ ถ้ามันต้องไปอยู่ในมือที่ไม่สะอาด

วันนี้มีรายงานผู้ใช้โทรศัพท์จำนวนมากได้รับลิงก์ให้ดาวน์โหลดไฟล์ติดตั้งแอนดรอยด์ ชื่อไฟล์ว่า "รับทราบ.apk" ในกรณีของผมลิงก์ให้ดาวน์โหลด ผมวิเคราะห์การทำงานของแอพพลิเคชั่นตัวนี้แล้วพบว่ามีอันตรายอย่างมาก ห้ามทุกคนติดตั้งในทุกกรณี

"รับทราบ.apk" ขอสิทธิ์จำนวนมากในเครื่อง ทั้งการอ่านอีเมลและ SMS รวมถึงสิทธิ์การเข้าเป็นแอดมินเครื่อง

อย่างไรก็ดีจากการตรวจสอบการทำงานของแอพพลิเคชั่นผมพบว่าส่วนสิทธิ์แอดมินนั้นไม่ได้ทำงานอะไรเป็นพิเศษ คาดว่าที่ตัวแอพพลิเคชั่นขอสิทธิ์แอดมินไว้เพื่อให้ถอดแอพพลิเคชั่นได้ยากขึ้น แต่การทำงานจริงเป็นการส่งรายชื่อติดต่อและข้อความ SMS ทั้งหมดกลับเซิร์ฟเวอร์

รายงานจากนักวิจัยความปลอดภัยคอมพิวเตอร์ Vadim Kotov และ Rahul Kashyap เตรียมนำเสนอในงาน Virus Bulletin ระบุว่าเขาพบแบนเนอร์โฆษณาบน YouTube และเว็บไซต์อื่นๆ ที่พาให้ผู้ใช้ไปดาวน์โหลดมัลแวร์ ส่งผลให้ผู้ใช้ติดมัลแวร์เข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ (ransomware) ในที่สุด

เครือข่ายโฆษณาทำให้แฮกเกอร์สามารถปล่อยมัลแวร์ได้อย่างเจาะจง โดยสามารถเลือกประเทศของเหยื่อ โดยโค้ดโฆษณาจะตรวจสอบว่าเบราว์เซอร์ของเหยื่อเป็นรุ่นที่มีช่องโหว่ตามต้องการหรือไม่

Cisco ออกรายงานสรุปภาพรวมความปลอดภัยของโลกไอที ประจำครึ่งแรกของปี 2014 (Cisco 2014 Midyear Security Report) มีประเด็นน่าสนใจดังนี้

เริ่มมีรายงานถึงมัลแวร์ SynoLocker ที่อยู่ในกลุ่ม ransomware โดยมุ่งเป้า NAS ของ Synology ที่เปิดพอร์ต 5000 และ 5001 ไว้เพื่อเข้าถึงหน้าคอนฟิกและบริการต่างๆ ตอนนี้ผู้ที่ใช้ NAS ของ Synology ควรเปลี่ยนพอร์ตเหล่านี้เป็นหมายเลขพอร์ตอื่นๆ และปิดไม่ให้พอร์ตหน้าคอนฟิกเข้าถึงจากอินเทอร์เน็ต

SynoLocker จะเข้ารหัสไฟล์ทั้งหมดและเรียกค่าไถ่ 0.6 BTC หรือประมาณ 11,000 บาท

ยังไม่ยืนยันว่าตัวมัลแวร์เข้าถึง NAS ได้อย่างไร ความเป็นไปได้หนึ่งคือ Synology มีรหัสผ่านเฉพาะที่เหมือนกันทุกเครื่อง

ระหว่างนี้ยังไม่มีแพตช์ออกมาแก้ปัญหาชัดเจน ก็ควรสำรองข้อมูลอีกชั้นกันเหนียวกันไว้ครับ

ปฏิเสธไม่ได้ว่าการใช้งานบิททอร์เรนท์เป็นที่นิยมในปัจจุบันอย่างมาก และมีโปรแกรมสำหรับใช้งานลักษณะนี้อยู่จำนวนมาก หนึ่งในโปรแกรมยอดนิยมคงหนีไม่พ้น uTorrent ที่มีผู้ดาวน์โหลดนับล้านต่อเดือน

ล่าสุดมีรายงานว่า Chrome เบราว์เซอร์จากกูเกิล แจ้งเตือนว่าไฟล์ติดตั้งโปรแกรม uTorrent เวอร์ชันล่าสุดเป็นไฟล์อันตราย และบล็อคการติดตั้งโปรแกรมดังกล่าว ทำให้ยอดการติดตั้งของ uTorrent ตกลงไปพอสมควรในสัปดาห์ที่ผ่านมา โดยเหตุผลของการแจ้งเตือนนี้มาจากระบบวิเคราะห์ความปลอดภัยของกูเกิลพบว่ามี 4 เว็บไซต์ที่ให้ดาวน์โหลด uTorrent นั้นเกี่ยวข้องกับการแพร่กระจายมัลแวร์ในช่วง 90 วันที่ผ่านมา

จากกรณี ไมโครซอฟท์ยึดโดเมนจาก No-IP กรองเว็บมัลแวร์ กระทบผู้ใช้นับล้าน และ No-IP ได้โดเมนกลับมา 18 โดเมนแล้ว เหลือ .org

ล่าสุดทาง Vitalwerks Internet Solutions บริษัทผู้ให้บริการ No-IP ออกมาแถลงว่าสามารถเจรจายุติคดีกับไมโครซอฟท์สำเร็จแล้ว โดยไมโครซอฟท์ตรวจสอบหลักฐานต่างๆ ที่ Vitalwerks มอบให้ แล้วพบว่าบริษัทไม่มีส่วนเกี่ยวข้องกับซับโดเมนที่ใช้เป็นฐานปล่อยมัลแวร์แต่อย่างใด แถมยังแก้ไขปัญหาทันทีเมื่อได้รับแจ้งข้อมูลจากไมโครซอฟท์

ทั้งสองบริษัทตกลงกันว่าจะแบนซับโดเมนที่มีปัญหาเป็นการถาวร และไมโครซอฟท์ยังขอโทษที่ทำให้ผู้ใช้จำนวนหนึ่งเข้าถึงบริการ No-IP ไม่ได้

ไมโครซอฟท์ฟ้องต่อศาลเนวาดาขอยึดโดเมน 22 ชื่อจาก No-IP ผู้ให้บริการ Dynamic DNS รายใหญ่ โดยอ้างเหตุผลว่าโดเมนเหล่านี้เป็นแหล่งกระจายมัลแวร์ขนาดใหญ่ โดยหลังจากยึดโดเมนได้แล้ว ไมโครซอฟท์ก็ทำงานร่วมกับ A10 Networks เพื่อย้อนรอยหาเครื่องที่ติดมัลแวร์และช่วยจัดการหาทางแก้ปัญหาให้

บริษัทด้านความปลอดภัย G DATA จากเยอรมนี รายงานว่าค้นพบมือถือ Android จากจีนยี่ห้อ Star รุ่น N9500 ซึ่งขายผ่านร้านค้าปลีกในยุโรปในราคา 130-165 ยูโร (5,800-6,300 บาท) ฝังมัลแวร์ที่ปลอมตัวเป็นแอพ Google Play Store มาตั้งแต่แรก

มัลแวร์ตัวนี้ชื่อว่า Android.Trojan.Uupay.D จะส่งข้อมูลส่วนบุคคลของผู้ใช้กลับไปยังแฮ็กเกอร์ในเมืองจีน มันสามารถอ่านอีเมล, SMS รวมถึงดักสายโทรเข้า (intercept calls) นอกจากนี้ผู้ใช้ยังไม่สามารถลบมันออกได้ง่ายๆ เพราะเป็นส่วนหนึ่งของเฟิร์มแวร์

ทีมความปลอดภัยของเฟซบุ๊ก ประกาศผ่านโน้ตของหน้าเพจว่า เฟซบุ๊กได้เริ่มแจ้งเตือนผู้ใช้ให้ดาวน์โหลดซอฟต์แวร์สำหรับสแกนมัลแวร์ หากระบบพบว่าเครื่องที่ทำการล็อกอินติดมัลแวร์ โดยซอฟต์แวร์นี้ได้รับการพัฒนาโดย F-Secure และ Trend Micro ซึ่งจะแจ้งให้ผู้ใช้ดาวน์โหลดตัวใดตัวหนึ่ง ขึ้นอยู่กับว่าติดมัลแวร์ชนิดใด

เมื่อผู้ใช้กดดาวน์โหลด ระบบจะทำงานอยู่เบื้องหลังและผู้ใช้สามารถใช้งานเฟซบุ๊กต่อได้ตามปกติ เมื่อซอฟต์แวร์ถูกดาวน์โหลดและสแกนเสร็จเรียบร้อย ระบบจะแจ้งเตือนผู้ใช้อีกครั้ง และทำการถอนการติดตั้งตัวเองออกโดยอัตโนมัติ

อย่างไรก็ตาม ผู้ใช้สามารถปฏิเสธที่จะดาวน์โหลดซอฟต์แวร์ได้ แต่ก็จะได้รับการแจ้งเตือนอีกครั้งเมื่อล็อกอิน

ช่วงสัปดาห์ที่ผ่านมามีปฏิบัติการขโมยรหัสผ่าน Apple ID ผ่านมัลแวร์ที่แฝงตัวมากับแอพเจลเบรกบน Cydia ซึ่งตอนนี้ก็ยังมีผู้ติดร่างแหอยู่เรื่อยๆ ล่าสุดมีนักวิจัยเกี่ยวกับความปลอดภัยออกมาอธิบายการทำงานของมัลแวร์ตัวนี้แล้ว

ย้อนความเกี่ยวกับมัลแวร์ตัวนี้ถูกเรียกว่า "Unflod" ถูกค้นพบโดยผู้ใช้ Reddit ที่รู้สึกว่าเครื่องที่ใช้มีอาการแอพเด้งหลังจากลงแอพเจลเบรกบางตัวใน Cydia จนไปพบกับ Unflod ที่แฝงตัวเข้ามาเป็นหนึ่งในส่วนเสริมของ Mobile Substrate (เฟรมเวิร์คสำหรับรันแอพบน Cydia) ในรูปแบบของไลบราลีชื่อว่า Unflod.dylib หลังจากนั้นไม่นานก็มีคนไปพบกับไลบราลีอีกตัวที่ชื่อว่า framework.dylib ซึ่งทำงานคล้ายกัน ในชื่อที่ต่างกันเท่านั้น

กูเกิลมีมาตรการด้านความปลอดภัยหลายอย่างให้กับแพลตฟอร์ม Android (ข่าวเก่า: กูเกิลบอกมีมัลแวร์ Android เพียง 0.001% เท่านั้นที่หลุดระบบป้องกันและอาจเกิดอันตราย, รายละเอียดสถาปัตยกรรมความปลอดภัยของแพลตฟอร์ม Android)

ฟีเจอร์ที่น่าสนใจอันหนึ่งคือ Verify Apps ที่ถูกเพิ่มเข้ามาตั้งแต่เวอร์ชัน 4.2 โดยเมื่อเปิดใช้แล้วกูเกิลจะสแกนแอพที่ติดตั้งเข้ามาในเครื่อง (ไม่ว่าจะลงผ่าน Play Store หรือไม่) ว่ามีมัลแวร์หรือไม่ ปัจจุบันฟีเจอร์นี้ถูกใช้ตรวจสอบแอพไปแล้วกว่า 4 พันล้านครั้ง

ไม่แปลกสำหรับระบบปฏิบัติการที่มีผู้ใช้มากที่สุดในโลก ย่อมเป็นเป้าหมายหลักของผู้ไม่หวังดี โดยปีที่แล้ว ระบบปฏิบัติการแอนดรอยด์มีสัดส่วนของมัลแวร์มากที่สุดถึง 97% ในขณะที่อีก 3% ไม่ได้มาจาก iOS, Blackberry OS หรือ Window Phone แต่กลับเป็น Symbian OS

อย่างไรก็ดี ตัวเลขดังกล่าวเป็นเพียงจำนวนของมัลแวร์ที่รันบนระบบปฏิบัติการแอนดรอยด์ ไม่ได้หมายความว่า มัลแวร์เหล่านั้นมีที่มาจาก Play Store เพราะ Play Store มีสัดส่วนของมัลแวร์บนแอนดรอยด์เพียง 0.1% เท่านั้น อีก 99.9% ที่เหลือมาจาก store เถื่อนต่างๆ

Symantec ออกรายงานวิเคราะห์มัลแวร์กลุ่มที่เข้ารหัสข้อมูลผู้ใช้เพื่อเรียกเป็นตัวประกัน (Ransomware) ตัวที่ระบาดก่อนหน้านี้คือ Cryptolocker ตอนนี้มีรายงานมัลแวร์ในกลุ่มเดียวกันตัวใหม่คือ CryptoDefence ที่พัฒนาขึ้นมามาก

CryptoDefence จะถูกส่งไปยังเครื่องของเหยื่อผ่านทางสแปมเมล เมื่อติดลงในเครื่องแล้วมัลแวร์จะเริ่มส่งข้อมูลเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์ สร้างคู่กุญแจ RSA-2048 แล้วส่งกุญแจลับกลับไปยังเซิร์ฟเวอร์พร้อมสกรีนชอตของเหยื่อ

บริษัทความปลอดภัย Trend Micro รายงานว่าพบมัลแวร์บนแอนดรอยด์ตระกูลใหม่ชื่อ ANDROIDOS_KAGECOIN.HBT ที่ไม่ทำอันตรายแก่ผู้ใช้งานโดยตรง แต่แอบใช้ "พลังประมวลผล" บนมือถือที่ติดมัลแวร์ทำการ "ขุด" สกุลเงินเสมือนทั้งหลาย ไม่ว่าจะเป็น Bitcoin, Litecoin, Dogecoin

มัลแวร์เหล่านี้จะปลอมตัวเป็นแอพที่มีชื่อเสียงแล้วหลอกให้ผู้ใช้งานโหลดแอพผิดตัว (หลักฐานที่พบมี 2 แอพคือ Football Manager Handheld และ TuneIn Radio) แต่ในแอพจริงๆ จะมีโค้ดสำหรับการขุดโดยก็อปปี้มาจากแอพขุดสกุลเงิน (ที่เป็นแอพจริง) บนแอนดรอยด์อีกทีหนึ่ง

นักวิจัยจาก ESET ร่วมกับ CERT-Bund เปิดโปงปฏิบัติการที่มีชื่อว่า WINDIGO ซึ่งเป็นปฏิบัติการในการโจมตีที่คอมพิวเตอร์ส่วนบุคคลและเซิร์ฟเวอร์เพื่อทำการสแปมและแพร่กระจายต่อไปเรื่อยๆ ในตอนนี้ทาง ESET คาดการณ์ว่ามีคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้แล้ววันละกว่า 5 แสนเครื่องผ่านทาง 25,000 เซิร์ฟเวอร์ที่ถูกโจมตีก่อนหน้าเพื่อใช้ในการแพร่กระจาย

WINDIGO ถูกระบุว่าเริ่มทำการโจมตีตั้งแต่ปี 2011 โดยมีเว็บไซต์ใหญ่ๆ ที่แพร่กระจายมัลแวร์ตัวนี้อยู่ด้วย เช่น cPanel.net หรือแม้กระทั่ง Kernel.org โดยตัวมัลแวร์ประกอบด้วยสามส่วนแบ่งเป็นส่วนที่ใช้ในการโจมตีและขโมยข้อมูลที่ใช้ใน OpenSSH, ส่วนที่ใช้ในควบคุมทราฟิกของเว็บและสคริปต์ที่ใช้ในการส่งสแปม