Alcuni ricercatori di sicurezza hanno individuato un nuovo trojan che colpisce i dispositivi Linux: questo trojan ha la capacità di trasformare le macchine infette in server proxy e trasmettere traffico dannoso, nascondendo quindi la vera origine dell'attacco e altre attività pericolose.
Il trojan si chiama Linux.Proxy.10 ed è stato individuato dai ricercatori di Dr Web in questi giorni: ha già infettato migliaia di dispositivi, a giudicare dalle liste trovate sul server ad esso collegato.
Qualche specifica...
Questo trojan non include nessuna caratteristica utile a infettare o compromettere dispositivi. Pare che gli operatori che gestiscono il trojan usino, per infettare i dispositivi, un altro trojan: la funzione di questo secondo trojan è quella di aprire una backdoor, creando un utente denominato "mother", con una password "fucker".
Una volta che l'account è stato creato, viene "riportato indietro" al server dannoso, che salva tutti gli account creati in una lista. Ecco qui la lista degli IP trovati sul server, con username e password relativa.
A questo punto gli attaccanti analizzano la lista, accedono ai dispositivi interessati tramite SSH (Secure Shell, protocollo utile a stabilire una sessione remota cifrata con un altro host) e scaricano il Linux.Proxy su tutti i dispositivi accessibili.
Linux Proxy non è solo...
Il malware Linux.Proxy contiene una copia dell'utility Satanic Socks Server, che verrà usato per impostare un server proxy locale SOCKS5 sulle seguenti porte:
18902
27891
28910
33922
37912
39012
48944
49082
49098
56494
61092
61301
Chi c'è dietro a questo trojan?
Secondo Dr.Web lo stesso server dove è stato trovato l'elenco dei dispositivi madre con i relativi user ospita anche il pannello di controllo di un software per il monitoraggio di computer (SPY.AGENT) insieme ad uno spyware per Windows denominato "BackDoor.TeamViewer".
Nel passato ci sono stati altri malware per Linux usati per trasformare host infetti in server proxy (Luabot, Moose due esempi). Vari sono stati anche i casi di utilizzo del bug SSH (CVE-2004-1653), vecchio di ben 12 anni, per compromettere dispositivi IoT Linux e usarli in maniera non dissimile a quella sopra indicata per rilasciare traffico dannoso.
Nessun commento:
Posta un commento