Троян Linux.ProxyM теперь используется для взлома сайтов

Мария Нефёдова, 08.12.2017

Еще в июне 2017 года специалисты компании «Доктор Веб» рассказали об обнаружении Linux-трояна, который поднимал на зараженном устройстве прокси-сервер. Троян получил название Linux.ProxyM.

Напомню, что данная малварь запускает на инфицированном устройстве SOCKS-прокси сервер и умеет обнаруживать ханипоты. Соединившись с управляющим сервером и получив от него подтверждение, Linux.ProxyM загружает адреса двух ресурсов: с первого он получает список логинов и паролей, а второй необходим для работы SOCKS-прокси. Существуют сборки этого трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. То есть малварь способна работать практически на любом устройстве под управлением Linux, включая роутеры, телевизионные приставки и другое оборудование.

В сентябре аналитикам «Доктор Веб» стало известно, что злоумышленники приспособили Linux.ProxyM  для рассылки спама. Так, с каждого зараженного устройства распространялось около 400 спам-сообщений в сутки. Письма рекламировали ресурсы «для взрослых» и сомнительные финансовые услуги.

Вскоре операторы малвари также стали использовать трояна для распространения фишинговых сообщений. Подобные послания отправлялись якобы от имени DocuSign — сервиса, позволяющего загружать, просматривать, подписывать и отслеживать статус электронных документов. Если пользователь переходил по такой ссылке в письме, он попадал на поддельный сайт DocuSign с формой авторизации. После ввода пароля жертва мошенников перенаправлялась на настоящую страницу авторизации DocuSign, а содержимое фишинговой формы отправлялось злоумышленникам.

В декабре 2017 года преступники нашли новое применение Linux.ProxyM и зараженным устройствам. Реализованный в малвари прокси-сервер теперь используется для сохранения анонимности, а инфицированные девайсы стали предпринимать многочисленные попытки взлома веб-сайтов.

Исследователи сообщают, что злоумышленники используют несколько различных методов взлома: это SQL-инъекции, XSS и Local File Inclusion. Среди подвергшихся атакам сайтов замечены игровые серверы, форумы, а также ресурсы другой тематической направленности, в том числе российские.

Специалисты «Доктор Веб» продолжают следить за активностью ботнета Linux.ProxyM. График зафиксированных атак можно увидеть ниже.