خلاصه: تروجان لینوکسی Linux-ProxyM که اولین بار در ماه فوریه کشف شد اخیرا برای ارسال اسپم و کسب درآمد از این طریق، بهروزرسانیشدهاست. دستگاههای آلوده با این تروجان به یک سرور کنترل و فرمان وصل شده و دستوراتی را برای ارسال هرزنامه دریافت میکنند. به طور میانگین هر دستگاه آلوده ۴۰۰ ایمیل در روز ارسال میکند.
باتنتهایی مانند Mirai که قادر به آلودهکردن دستگاههای اینترنت اشیاء مبتنی بر لینوکس هستند بهطور مداوم در حال افزایشند و عمدتا برای انجام حملات منع دسترسی (DDoS) طراحی میشوند، اما محققان کشف کردند که مجرمان سایبری از باتنت برای ارسال هرزنامه استفاده میکنند.
تحقیقات جدید توسط یک شرکت امنیتی به نام Doctor Web نشانداده است که یک تروجان لینوکسی به نام Linux.ProxyM که توسط مجرمان سایبری برای اطمینان از عدم شناسایی آنلاین خود استفاده میشود، به تازگی برای ارسال هرزنامه و کسب درآمد بهروزرسانی شده است.
تروجان لینوکسی Linux.ProxyM که ابتدا در ماه فوریهی امسال کشف شد، یک پروکسی SOCKS را بر روی دستگاههای اینترنت اشیای آلودهشده اجرا میکند و قادر به شناسایی هانیپات میباشد.
این تروجان میتواند در بیشتر دستگاههای لینوکسی شامل مسیریابها، ستتاپ باکسها و سایر تجهیزاتی که معماریهایی مانند X86، MIPS، PowerPC، MIPSEL، ARM، Motorola 68000، Superh و SPARC دارند کار کند.
زمانی که دستگاهی با این تروجان آلوده شد، به یک سرور کنترل و فرمان متصل میشود و آدرسهای دو گرهی اینترنتی را دانلود میکند.
- اولی لیستی از نامهای کاربری و رمزهای عبور را فراهم میکند.
- دومی برای راهاندازی سرور پروکسی SOCKS مورد نیاز است.
سرور کنترل و فرمان همچنین یک دستور شامل آدرس سرور SMTP، گواهیهایی که برای دسترسی به این استفادهشدهاند، لیستی از آدرسهای ایمیل و یک قالب پیام که شامل تبلیغات برای سایتهای بزرگ است، ارسال میکند.
بهطور گسترده هر دستگاه آلوده ۴۰۰ ایمیل درهرروز میفرستد. اگرچه تعداد دستگاههای آلوده هنوز مشخص نیست اما Doctor Web معتقد است که این تعداد در ماههای مختلف تغییر کردهاست.
با توجه به حملات Linux.ProxyM در سی روز گذشته، اکثر دستگاههای آلوده در برزیل و ایالات متحده و بعد از آن در روسیه، هند، مکزیک، ایتالیا، ترکیه، لهستان، فرانسه و آرژانتین قراردارند.
