Заражение Linux-устройств троянцем Linux.Proxy.10

--> Дата: Янв 26, 2017 46

Компания «Доктор Веб» сообщила, что в январе ее вирусные аналитики обнаружили несколько тысяч работающих в сети устройств под управлением Linux, инфицированных новым троянцем. Этот троянец получил наименование Linux.Proxy.10 – как следует из названия, программа предназначена для запуска на инфицированном устройстве SOCKS5-прокси сервера, основанного на свободно распространяемых исходных кодах утилиты Satanic Socks Server. Злоумышленники используют троянца для обеспечения собственной анонимности в Интернете.

Для распространения Linux.Proxy.10 киберпреступники авторизуются на уязвимых узлах по протоколу SSH, при этом список узлов, а также логин и пароль к ним хранится на их сервере. Список имеет следующий вид: IP-адрес:login:password. Примечательно, что пользователей с такими учетными данными обычно создают в системе другие Linux-троянцы. Иными словами, Linux.Proxy.10 проникает на компьютеры и устройства, либо имеющие стандартные настройки, либо уже инфицированные вредоносными программами для Linux.

С использованием этого списка формируется сценарий, который выполняется на заражаемых устройствах при помощи утилиты sshpass. Он и заражает атакуемую систему троянцем Linux.Proxy.10.

Кроме того, на сервере злоумышленников, распространяющих Linux.Proxy.10, помимо списков уязвимых узлов аналитики обнаружили панель управления Spy-Agent и сборку вредоносной программы для Windows, относящейся к известному семейству троянцев-шпионов BackDoor.TeamViewer.

Для подключения к запущенному с помощью Linux.Proxy.10 прокси-серверу злоумышленникам необходимо знать только IP-адрес зараженного устройства и номер порта, который сохраняется в теле троянца при его компиляции. Специалистам «Доктор Веб» удалось подсчитать число инфицированных Linux.Proxy.10 узлов: на 24 января 2017 г. оно составляет несколько тысяч.

Чтобы обезопасить устройства от действия троянца Linux.Proxy.10, при подозрении на заражение в «Доктор Веб» рекомендуют выполнить их удаленную проверку по протоколу SSH с помощью Антивируса Dr.Web 11.0 для Linux.