Un nuevo troyano ha sido descubierto en la naturaleza que convierte los dispositivos basados en Linux en servidores proxy, que los atacantes utilizan para proteger su identidad, mientras que el lanzamiento de ataques cibernéticos de los sistemas de secuestrados.
Apodado Linux.Proxy.10, el troyano fue visto por primera vez a finales del año pasado por los investigadores de la firma de seguridad rusa Doctor Web, que más tarde se identificó miles de máquinas comprometidas a finales de enero de este año y la campaña está aún en curso y a la caza de más máquinas Linux.
Según los investigadores, el malware en sí no incluye ningún módulo de explotación de cortar en máquinas Linux; en cambio, los atacantes están utilizando otros troyanos y técnicas para comprometer los dispositivos en el primer lugar y luego crear una nueva cuenta de acceso con puerta trasera utilizando el nombre de usuario como «mother» y la contraseña como «fucker«.
Una vez backdoored y el atacante obtiene la lista de todas las máquinas de Linux comprometidas con éxito, luego se registra en ellos a través del protocolo SSH e instala el servidor proxy SOCKS5 usando Linux.Proxy.10 malware en él.
Este malware Linux no es para nada sofisticado, ya que utiliza un código fuente gratuito del servidor «Satanic Socks Server» de configuración proxy.
De acuerdo con la empresa de seguridad, miles de dispositivos basados en Linux ya han sido infectados con este nuevo troyano.
Además de esto, el mismo servidor – perteneciente a los delincuentes que distribuyen el software malicioso Linux.Proxy.10 – no sólo contenía la lista de dispositivos comprometidos, pero también recibió el panel de control de un software de supervisión de la computadora Spy-Agente y un malware de Windows a partir de una conocida familia de spyware troyano, llamado BackDoor.TeamViewer.
Esta no es la primera vez que este tipo de malware Linux ha sido descubierto.
Hace más de un año, los investigadores de seguridad de ESET descubrieron un malware similares, dubbed Moose, que también tenía la capacidad para activar los dispositivos de Linux en servidores proxy que luego fueron utilizados para el lanzamiento de los ejércitos de cuentas falsas en las redes de medios sociales, como Instagram y Twitter.
Se recomienda a los usuarios y administradores de Linux reforzar la seguridad de SSH limitando o inhabilitando el acceso root remoto a través de SSH, y para saber si el sistema ya ha sido comprometido, mantener una vigilancia regular sobre los usuarios de inicio de sesión recién generadas.