Frankfurt, 7. Dezember 2017
Linux.ProxyM ist ein Schädling für Linux, der auf dem infizierten Gerät einen SOCKS-Proxy-Server startet. Mit dessen Hilfe können Cyber-Kriminelle destruktive Aktionen vornehmen. Bekannt sind Varianten des Trojaners mit Architektur x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC. Dies bedeutet, dass Linux.ProxyM nahezu beliebige Geräte unter Linux infizieren kann, u.a. Router, TV-Konsolen sowie andere ähnliche Geräte.
Im September wurde den Analysten von Doctor Web bekannt, dass Übeltäter via Linux.ProxyM über 400 Spam-Mails pro Tag von jedem infizierten Gerät versendet haben. In E-Mails wurden Services „für Erwachsene“ und zweifelhafte finanzielle Dienstleistungen beworben. Bald darauf begannen die Übeltäter, das IoT zum Versenden von Phishing-Mails zu verwenden. Solche Mails kamen vermeintlich von DocuSign — dem Service, mit dessen Hilfe man ein Dokument hochladen, ansehen, unterzeichnen und verfolgen kann.
Wenn der Nutzer dem Link in der E-Mail folgte, gelangte er auf eine fingierte Webseite von DocuSign mit einem Anmeldungsformular. Nachdem man seine Daten inkl. Passwort eingegeben hat, wurde dieses an Cyber-Kriminelle versendet. Der Nutzer gelangte anschließend auf die Webseite von DocuSign.
Im Dezember haben die Betrüger einen neuen Verwendungszweck für Geräte gefunden, die mit Linux.ProxyM infiziert sind. Über einen Proxy-Server, der ihnen die Anonymität ermöglicht, begannen sie über diese infizierten Geräte Webseiten zu hacken. Cyber-Kriminelle nutzten mehrere Hackmethoden: SQL-Einschleusungen (Einbettung von SQL-Schadcode in die Datenbank einer Webseite), XSS (Cross-Site Scripting – Hackmethode, die die Einbettung eines böswilligen Szenarios beim Aufrufen einer Webseite vorsieht) und Local File Inclusion (LFI). Die letzte Methode ermöglicht es Cyber-Kriminellen, Dateien auf dem anzugreifenden Server über spezielle Befehle zu lesen. Angegriffen wurden Spielserver, Foren und andere Webseiten.
Die Malwareanalysten von Doctor Web verfolgen weiter die Aktivitäten des Linux.ProxyM-Botnets. Die Statistik zu registrierten Angriffen finden Sie nachfolgend:
Obwohl es in Linux.ProxyM nur eine Funktion (Proxy-Server) gibt, finden Cyber-Kriminelle immer neue Möglichkeiten für dessen Verwendung und zeigen häufiger Interesse am Internet der Dinge.
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare