Ссылаясь на предупреждение «Доктор Веб», корреспондент Security Week сообщает о хакерской кампании с участием IoT-ботнета, построенного на основе троянца Linux.ProxyM.

Зловред, предназначенный для запуска прокси-сервера SOCKS на зараженных IoT-устройствах и роутерах, исследователи впервые обнаружили в феврале. По данным «Доктор Веб», Linux.ProxyM атакует гаджеты с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC, использующие облегченные дистрибутивы Linux. Анализ показал, что данный троянец также способен обнаруживать специально созданные ловушки — ханипоты.

В конце мая — начале июня в состав бот-сети, созданной на базе Linux.ProxyM, входило 10 тыс. зараженных устройств, помогающих злоумышленникам скрывать противозаконную деятельность. К сентябрю этот IoT-ботнет начал использоваться для рассылки спама, рекламирующего услуги порносайтов. По оценке экспертов, каждое зараженное устройство генерировало около 400 спам-писем в сутки, получая с командного сервера адрес SMTP-сервера, регистрационные данные, список email-адресов и шаблон. Размеры ботнета сократились до 4,5 тыс. боевых единиц, активнее всего проявлявших себя в Бразилии и США.

Позднее Linux.ProxyM был задействован в фишинговой кампании; поддельные сообщения были написаны от имени DocuSign — сервиса, упрощающего подписание электронных документов и управление цифровыми транзакциями. Приведенная в теле письма ссылка была привязана к фишинговой странице с фальшивой регистрационной формой. Данные, введенные в эту форму, отправлялись злоумышленникам, после чего жертва перенаправлялась на настоящую страницу авторизации DocuSign.

В начале декабря была обнаружена новая киберкампания с участием Linux.ProxyM — на сей раз зараженные устройства проксировали трафик, нацеленный на эксплуатацию таких уязвимостей, как SQLi, XSS и LFI. Ботоводы (или очередные арендаторы IoT-ботнета) пытались таким образом взломать серверы онлайн-игр, открытые форумы и множество других сайтов, в том числе русскоязычных. Седьмого декабря исследователи зафиксировали 20 тыс. атак с использованием Linux.ProxyM.

Категории: Аналитика, Спам, Уязвимости, Хакеры