7 dicembre 2017

Doctor Web già riferiva di un trojan, denominato Linux.ProxyM, che è in grado di infettare dispositivi "intelligenti" dotati di SO Linux. A settembre i malintenzionati lo utilizzavano per inviare messaggi di spam, mentre di recente viene utilizzato per hackerare siti web.

Linux.ProxyM è un programma malevolo per SO della famiglia Linux che avvia sul dispositivo infetto un server proxy SOCKS. Attraverso questo proxy i criminali informatici possono commettere varie azioni distruttive in anonimato. Sono conosciuti i build di questo trojan per i dispositivi con l'architettura x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 e SPARC. Questo significa che Linux.ProxyM può infettare praticamente qualsiasi dispositivo con Linux, inclusi i router, i set-top box e altre apparecchiature simili.

A settembre gli analisti Doctor Web sono venuti a sapere che i malintenzionati inviavano attraverso Linux.ProxyM più di 400 messaggi di spam al giorno da ciascuno dispositivo infetto. I messaggi pubblicizzavano risorse "per adulti" e servizi finanziari inattendibili. Poco tempo dopo i criminali informatici hanno iniziato a utilizzare "l'Internet degli oggetti" per distribuire messaggi di phishing. Tali messaggi venivano inviati sotto mentite spoglie di DocuSign — un servizio che consente di caricare, visualizzare, firmare e tenere traccia dello stato dei documenti elettronici.

Se l'utente cliccava sul link in un messaggio, passava a un falso sito DocuSign con un modulo di autenticazione. Dopo aver immesso la password, la vittima dei truffatori veniva reindirizzata sulla vera pagina di autenticazione di DocuSign, mentre i contenuti del modulo di phishing venivano inviati ai malintenzionati.

A dicembre i criminali informatici hanno iniziato a utilizzare in un altro modo i dispositivi infettati da Linux.ProxyM: utilizzando il server proxy implementato nel trojan per preservare l'anonimato, loro hanno iniziato a fare numerosi tentativi di violazione di siti web. I malintenzionati impiegano diversi metodi di violazione: SQL injection (integrazione di codice malevolo SQL in una query del database del sito), XSS (Cross-Site Scripting) – un metodo di attacco che consiste nell'aggiunta alla pagina di uno script malevolo che viene eseguito sul computer ad apertura di tale pagina, e Local File Inclusion (LFI). Questo tipo di attacco permette ai malintenzionati di leggere in remoto file sul server attaccato tramite comandi appositamente formati. Tra i siti web attaccati sono stati notati server di gioco, forum e inoltre risorse di altri focus tematici, tra cui anche quelle russe.

Gli specialisti Doctor Web continuano a monitorare l’attività della botnet di Linux.ProxyM. Il grafico del numero di attacchi registrati di questo trojan è presentato di seguito.

Nonostante in Linux.ProxyM sia implementata una sola funzione – quella di server proxy, i malintenzionati trovano nuovi modi per usarlo nelle loro attività illegali e mostrano sempre più interesse per "l'Internet degli oggetti".

Informazioni sul trojan