Еще в июне 2017 года специалисты компании «Доктор Веб» рассказали об обнаружении Linux-трояна, который поднимал на зараженном устройстве прокси-сервер. Троян получил название Linux.ProxyM.
Напомню, что данная малварь запускает на инфицированном устройстве SOCKS-прокси сервер и умеет обнаруживать ханипоты. Соединившись с управляющим сервером и получив от него подтверждение, Linux.ProxyM загружает адреса двух ресурсов: с первого он получает список логинов и паролей, а второй необходим для работы SOCKS-прокси. Существуют сборки этого трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. То есть малварь способна работать практически на любом устройстве под управлением Linux, включая роутеры, телевизионные приставки и другое оборудование.
В сентябре аналитикам «Доктор Веб» стало известно, что злоумышленники приспособили Linux.ProxyM для рассылки спама. Так, с каждого зараженного устройства распространялось около 400 спам-сообщений в сутки. Письма рекламировали ресурсы «для взрослых» и сомнительные финансовые услуги.
Вскоре операторы малвари также стали использовать трояна для распространения фишинговых сообщений. Подобные послания отправлялись якобы от имени DocuSign — сервиса, позволяющего загружать, просматривать, подписывать и отслеживать статус электронных документов. Если пользователь переходил по такой ссылке в письме, он попадал на поддельный сайт DocuSign с формой авторизации. После ввода пароля жертва мошенников перенаправлялась на настоящую страницу авторизации DocuSign, а содержимое фишинговой формы отправлялось злоумышленникам.
В декабре 2017 года преступники нашли новое применение Linux.ProxyM и зараженным устройствам. Реализованный в малвари прокси-сервер теперь используется для сохранения анонимности, а инфицированные девайсы стали предпринимать многочисленные попытки взлома веб-сайтов.
Исследователи сообщают, что злоумышленники используют несколько различных методов взлома: это SQL-инъекции, XSS и Local File Inclusion. Среди подвергшихся атакам сайтов замечены игровые серверы, форумы, а также ресурсы другой тематической направленности, в том числе российские.
Специалисты «Доктор Веб» продолжают следить за активностью ботнета Linux.ProxyM. График зафиксированных атак можно увидеть ниже.