le 7 décembre 2017

Doctor Web a déj à indiqué l’existence du Trojan Linux.ProxyM capable d’infecter des dispositifs intelligents fonctionnant sous Linux. En septembre 2017, les pirates l'ont utilisé pour envoyer du spam, et plus récemment, ils utilisent ses capacités pour pirates des sites Web.

Linux.ProxyM est un logiciel malveillant qui lance sur un appareil contaminé un serveur proxy SOCKS. C'est en utilisant ce proxy que les criminels peuvent agir de manière anonyme. Il existe des builds de ce Trojan pour les architectures x86, MIPS, MIPSEL, PowerPC, Superh, ARM, Motorola 68000 et SPARC. En d’autres termes, Linux.ProxyM peut contaminer n’importe quel appareil sous Linux, y compris les routeurs, boîtiers décodeurs et autres équipements.

Au mois de septembre, les analystes de Doctor Web ont découvert que les malfaiteurs envoyaient plus de 400 messages spam par jour depuis chaque dispositif contaminé en utilisant Linux.ProxyM Leurs messages contenaient des publicités pour des sites pour adultes et des services financiers douteux. Par la suite, les cybercriminels ont commencé à utiliser l'Internet des objets pour la propagation de messages de phishing. Ces messages étaient envoyés au nom de DocuSign, le service permettant de télécharger, consulter, signer et suivre le statut des documents électroniques.

Si l’utilisateur suivait le lien dans le message, il était redirigé vers un faux site imitant le site DocuSign et affichant un faux formulaire d'authentification. Après avoir entré son mot de passe, la victime était redirigée vers la page d'authentification DocuSign mais le contenu du formulaire de phishing était envoyé aux pirates.

Au mois de décembre 2017, les criminels ont trouvé une nouvelle façon d’utiliser des dispositifs contaminés par Linux.ProxyM : en utilisant un serveur proxy ils tentent de pirater des sites web. Les criminels utilisent plusieurs techniques de piratage : les injections SQL (implantaion d''un code malveillant SQL dans une requête adressée à la base de données d'un site), XSS (Cross-Site Scripting) qui est une méthode d'attaque consistant à ajouter à une page un script malveillant qui est exécuté sur l'ordinateur lors de l'ouverture de ladite page, et Local File Inclusion (LFI). Ce type d'attaque permet aux malfaiteurs de consulter à distance les fichiers sur le serveur attaqué en utilisant des commandes générées d'une manière spécialisée. Parmi les sites ayant subi des attaques, on voit des serveurs de jeux, des forums et des ressources dédiées à d'autres thématique dont des sites russes.

Les analystes de Doctor Web continuent de surveiller l’activité du botnet Linux.ProxyM. L'évolution du nombre d'attaques effectuées avec ce Trojan est représentée sur l'illustration ci-dessous.

Malgré le fait que Linux.ProxyM, n’utilise qu’une fonction de serveur proxy, les pirates trouvent le moyen de l'utiliser pour différentes activités malveillantes et ils portent un intérêt croissant à l'Internet des objets.

Plus d'infos sur ce Trojan