Troyano linux es capaz de transformar las máquinas infectadas en servidores proxy y enviar tráfico malicioso, ocultando el verdadero origen de los ataques u otras actividades nefastas.
Este nuevo troyano se llama Linux.Proxy.10 y sus primeras versiones fueron vistos en línea hacia el final del año.
De acuerdo con Dr.Web, la empresa de seguridad que desenmascaró las actividades del Troyano, a finales de enero había miles de dispositivos infectados con esta amenaza.
Linux.Proxy utiliza como un malware de segunda etapa
Lo que diferencia Linux.Proxy es que el troyano no incluye ninguna característica para infectar y dispositivos.
Según los investigadores, los operadores del Troyano utilizan otros troyanos que comprometer dispositivos, que utilizan para crear un usuario "madre" y la contraseña "hijo de puta".
Una vez que se crean estas cuentas, que están informaron al servidor de los ladrones ', que las guarda en una lista.
Los atacantes analizan esta lista, entre en los dispositivos afectados a través de SSH, y descarga el malware Linux.Proxy en todas las máquinas.
El malware Linux.Proxy contiene una copia de la utilidad Satanic Socks, que se va a utilizar para configurar un servidor SOCKS5 proxy local en uno de los siguientes puertos:18902, 27891, 28910, 33922, 37912, 39012, 48944, 49082, 49098, 56494, 61092, 61301
De acuerdo con Dr.Web, el mismo servidor donde encontraron la lista de dispositivos con la madre: f *** er usuario y contraseña combos, también recibió el panel de control de un software de supervisión de la computadora SpyAgent, junto con una compilación de Windows para el BackDoor software espía TeamViewer.
Teniendo en cuenta que el malware se encuentra en miles de dispositivos, es muy probable que los autores del malware están utilizando para alquilar el acceso a su red de anonimato, y no sólo para enmascarar sus propias actividades maliciosas.
Los atacantes también han utilizado un bug de 12 años de antiguedad, SSH (CVE-2004-1653) para comprometer los dispositivos IO basados en Linux y utilizarlos de una manera similar para retransmitir el tráfico malicioso.
