Фахівці "Доктор Web" продовжують стежити за активністю ботнета Linux.ProxyM.
Згідно з інформацією компанії «Доктор Web», троянець Linux.ProxyM, здатний заражати «розумні» пристрої під управлінням ОС Linux, останнім часом використовується зловмисниками для злому Web-сайтів.
Linux.ProxyM – це шкідлива програма для ОС сімейства Linux, яка запускає на інфікованому пристрої SOCKS-проксі-сервер. З його допомогою кіберзлочинці можуть анонімно робити різні деструктивні дії. Відомі збірки цього троянця для пристроїв з архітектурою x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 та SPARC. Це означає, що Linux.ProxyM може заразити практично будь-який пристрій під керуванням Linux, включаючи роутери, телевізійні приставки та інше обладнання.
Аналітикам «Доктор Web» стало відомо, що зловмисники розсилали з використанням Linux.ProxyM понад 400 спам-повідомлень на добу з кожного інфікованого пристрою. Листи рекламували ресурси «для дорослих» та сумнівні фінансові послуги. Незабаром кіберзлочинці почали використовувати Інтернет для поширення фішингових повідомлень; послання надсилалися нібито від імені DocuSign – сервісу, що дозволяє завантажувати, переглядати, підписувати та відстежувати статус електронних документів.
Якщо користувач переходив за посиланням у листі, він потрапляв на підроблений сайт DocuSign із формою авторизації. Після введення паролю жертва шахраїв перенаправлялася на справжню сторінку авторизації DocuSign, а вміст фішингової форми надсилався зловмисникам.
У грудні кіберзлочинці, використовуючи реалізований у Linux.ProxyM проксі-сервер для збереження анонімності, почали робити спроби злому Web-сайтів. Використовуються кілька різних методів злому: це SQL-ін'єкції (впровадження в запит до бази даних сайту шкідливого SQL-коду), XSS (Cross-Site Scripting) – метод атаки, що полягає у додаванні до сторінки шкідливого сценарію, який виконується на комп'ютері при відкритті цієї сторінки, та Local File Inclusion (LFI). Останній вид атаки дозволяє зловмисникам віддалено читати файли на сервері, що атакується, за допомогою спеціальним чином сформованих команд. Серед Web-сайтів, що зазнали атак, – ігрові сервери, форуми, а також ресурси іншої тематичної спрямованості
