Un nouveau botnet IoT exploitant le malware « Linux.ProxyM » utilisé dans une campagne visant à pirater des sites Web

Les experts en sécurité de « Doctor Web » ont découvert un nouveau botnet composés d'appareils IoT exploitant le programme malveillant Linux.ProxyM. Ce dernier est actuellement utilisé pour une campagne visant à pirater des sites Web.

Linux.ProxyM est un logiciel malveillant qui existe depuis février 2017 et a déjà été utilisé dans des campagnes de spam. Le cheval de Troie a été conçu pour lancer un serveur proxy SOCKS sur les périphériques infectés et permet aux attaquants de tirer parti du proxy pour effectuer de façon anonyme des actions malveillantes.

Le logiciel malveillant est capable de cibler des dispositifs basés sur différentes architectures, y compris x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 et SPARC. Il peut donc infecter presque tous les périphériques Linux, y compris les routeurs, décodeurs et autres équipements similaires.

Les campagnes malveillantes précédentes tirant profit du robot envoyaient des spams et des messages d'hameçonnage qui provenaient prétendument de DocuSign, un service offrant aux utilisateurs la possibilité de télécharger, visualiser, signer et suivre l'état des documents électroniques, comportant un formulaire d'autorisation, dans le but d'inciter les utilisateurs à saisir leurs informations d'identification et les voler par la suite.

Au début du mois, les serveur proxy de Linux.ProxyM ont commencé à être utilisé pour pirater des sites Web par le biais de diverses méthodes, comme les injections SQL, Cross-Site Scripting et LFI (Local File Inclusion). Les acteurs exploitant le robot ont ciblé des serveurs et des forums, ainsi que des ressources d'intérêt. Plusieurs sites web russes ont également été visés.

Le 7 décembre, les chercheurs en sécurité ont observé 20 000 attaques lancées par le robot.