Troyano de Linux utiliza dispositivos IoT hackeados para enviar correos electrónicos de spam


Botnets, como Mirai , que son capaces de infectar dispositivos basados ​​en Linux de Internet de las cosas (IoT) están aumentando constantemente y están diseñados principalmente para llevar a cabo ataques de Denegación de Servicio Distribuido (DDS), pero los investigadores han descubierto que los ciberdelincuentes están usando botnets para envíos masivos de spam.

Una nueva investigación llevada a cabo por la firma de seguridad rusa Doctor Web ha revelado que un troyano Linux, conocido como Linux.ProxyM que los cibercriminales utilizan para garantizar su anonimato en línea ha sido recientemente actualizado para añadir el spam mas capacidades de envío de ganar dinero.

El troyano Linux.ProxyM Linux, inicialmente descubierto por la firma de seguridad en febrero de este año, ejecuta un servidor proxy SOCKS en un dispositivo IoT infectado y es capaz de detectar honeypots para ocultarse de los investigadores de malware.

Linux.ProxyM puede operar en casi todos los dispositivos Linux, incluyendo enrutadores, set-top boxes y otros equipos que tengan las siguientes arquitecturas: x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh y SPARC.

Aquí es cómo funciona este troyano de Linux:

Una vez infectado con Linux.ProxyM, el dispositivo se conecta a un servidor de comando y control (C & C) y descarga las direcciones de dos nodos de Internet:

  • El primero proporciona una lista de inicios de sesión y contraseñas
  • El segundo es necesario para que el servidor proxy SOCKS funcione

El servidor C & C también envía un comando que contiene una dirección de servidor SMTP, las credenciales utilizadas para acceder a ella, una lista de direcciones de correo electrónico y una plantilla de mensaje que contiene anuncios para varios sitios de contenido para adultos.

Un correo electrónico típico enviado con dispositivos infectados con este troyano contiene un mensaje que dice:

Subject: Kendra asked if you like hipster girls
A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
Check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!

En promedio, cada dispositivo infectado envía 400 de dichos mensajes por día.
Aunque el número total de dispositivos infectados con este troyano es desconocido, los analistas de Doctor Web creen que el número cambió a lo largo de los meses.

Según los ataques Linux.ProxyM lanzados durante los últimos 30 días, la mayoría de los dispositivos infectados se encuentra en Brasil y Estados Unidos, seguido por Rusia, India, México, Italia, Turquía, Polonia, Francia y Argentina.

“Podemos presumir que la gama de funciones implementadas por los troyanos de Linux se ampliará en el futuro”, dicen los investigadores del Dr Web. 

“El Internet de las cosas ha sido durante mucho tiempo un punto focal para los ciberdelincuentes. La amplia distribución de programas maliciosos de Linux capaces de infectar dispositivos que poseen varias arquitecturas de hardware sirve como prueba de ello”.

Vía |thehackernews

log in

reset password

Back to
log in