Library
My library

+ Add to library

Profile

Wróć do listy aktualności

Cyberprzestępcy używają “Internetu rzeczy” do wysyłania wiadomości typu spam

12 września 2017

Liczba złośliwych programów zdolnych do infekowania urządzeń typu “smart” z systemem Linux ciągle się powiększa. Większa część z nich została zaprojektowana do przeprowadzania ataków DDoS i zapewniania anonimowości w sieci. Badania przeprowadzone przez specjalistów Doctor Web odkryły, że cyberprzestępcy używają takich trojanów dla Linuxa do masowej wysyłki wiadomości e-mail.

Trojanem tego typu jest Linux.ProxyM, który był już opisany przez Doctor Web w czerwcu tego roku. Nasza firma chce przypomnieć użytkownikom, że ten trojan uruchamia na zainfekowanym urządzeniu serwer proxy SOCKS i jest zdolny do wykrywania tzw. honeypots—specjalnych zasobów stworzonych przez osoby badające złośliwe programy, służących jako przynęta dla cyberprzestępców. Gdy tylko trojan podłączy się do serwera kontrolno-zarządzającego (C&C) i otrzyma od niego potwierdzenie, Linux.ProxyM pobiera z tego serwera adresy dwóch węzłów w sieci Internet: pierwszy z nich zapewnia listę loginów i haseł, a drugi jest wymagany do działania serwera proxy SOCKS. Istnieją dwie wersje tego trojana przeznaczone dla urządzeń posiadających następujące architektury: x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 i SPARC. Innymi słowy, Linux.ProxyM potrafi działać na prawie każdym urządzeniu z systemem Linux, włączając routery, urządzenia TV i inny sprzęt.

Analitycy wirusów Doctor Web wykryli, że cyberprzestępcy używają wirusa Linux.ProxyM do wysyłania spamu. Serwer C&C wysyła na zainfekowane urządzenie stosowne polecenie. Wysłana komenda zawiera adres serwera SMTP, login i hasło używane do uzyskania dostępu do niego, listę adresów email i sam szablon wiadomości. Te e-maile zawierają reklamy różnych stron www przeznaczonych tylko dla dorosłych. Typowa wiadomość e-mail wysłana z użyciem urządzeń zainfekowanych przez Linux.ProxyM może zawierać następującą treść:

Subject: Kendra asked if you like hipster girls
A new girl is waiting to meet you. And she is a hottie! Go here to see if you want to date this hottie (Copy and paste the link to your browser) http://whi*******today.com/ check out sexy dating profiles There are a LOT of hotties waiting to meet you if we are being honest!

Na podstawie statystyk zebranych przez Doctor Web, urządzenie zainfekowane przez Linux.ProxyM wysyła średnio około 400 e-maili w ciągu jednego dnia. Poniższy wykres pokazuje jak wiele ataków Linux.ProxyM zostało odnotwanych przez naszych specjalistów.

screen #drweb

Liczba unikalnych adresów IP zainfekowanych urządzeń została pokazana na kolejnym diagramie. Warto nadmienić że ta ilustracja pokazuje tylko liczbę botów monitorowanych przez analityków Doctor Web. Faktyczna liczba zainfekowanych urządzeń może być wyższa.

screen #drweb

Poniższa ilustracja pokazuje rozkład geograficzny lokalizacji z których w ciągu ostatnich 30 dni uruchamiano ataki z użyciem wirusa Linux.ProxyM:

screen #drweb

Możemy przypuszczać, że w przyszłości zakres funkcji zaimplementowanych w trojanach dla Linuxa będzie się powiększał. Internet rzeczy od dłuższego czasu znajduje się w kręgu zainteresowań cyberprzestępców. Szeroka dystrybucja złośliwych programów dla Linuxa zdolnych do infekowania urządzeń posiadających różną architekturę sprzętową jest na to wystarczającym dowodem.

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments