Новый троян Proxy атаковал несколько тысяч Linux-устройств

Специалисты компании «Доктор Веб» обнаружили новый Linux-троян, котрый используется злоумышленниками для запуска на зараженном устройстве SOCKS5-прокси-сервера, основанного на исходных кодах утилиты Satanic Socks Server. При помощи вредоноса, получившего наименование Linux.Proxy.10 (по классификации «Доктор Веб»), киберпреступники обеспечивают собственную анонимность в Сети.

Для распространения трояна злоумышленники авторизуются на уязвимых узлах по протоколу SSH, используя хранящийся на их сервере список узлов и учетные данные к ним. Перечень имеет следующий вид: «IP-адрес:login:password». Как поясняют исследователи, вредонос проникает на компьютеры и серверы либо имеющие стандартные настройки, либо уже инфицированные вредоносным ПО для Linux.

Помимо списков уязвимых узлов, сервер злоумышленников содержит панель управления Spy-Agent и сборку вредоносной программы для Windows, относящейся к известному семейству троянов-шпионов BackDoor.TeamViewer.

Для подключения к запущенному трояном прокси-серверу преступникам всего лишь нужно знать IP-адрес инфицированного устройства и номер порта, который сохраняется в теле Proxy при его компиляции. Согласно данным экспертов, по состоянию на 24 января 2017 года число Linux-устройств, зараженных трояном Proxy, составляло несколько тысяч.