Clicky

Nuevo troyano convierte miles de dispositivos Linux en servidores proxy

Linux.Proxy.10 no es nada sofisticado ya que utiliza un código fuente gratuito

Se ha descubierto un nuevo troyano que convierte los dispositivos basados en Linux en servidores proxy, que los atacantes usan para proteger su identidad mientras lanzan ataques cibernéticos de los sistemas secuestrados.

Apodado Linux.Proxy.10, el troyano fue visto por primera vez a finales del año pasado por los investigadores de la firma de seguridad rusa Doctor Web, que más tarde identificó miles de máquinas comprometidas a finales de enero de este año y la campaña y la caza para más máquinas Linux está aún en curso.

Según los investigadores, el malware en sí no incluye ningún módulo de explotación para hackear en máquinas Linux. En cambio, los atacantes están utilizando en primer lugar otros troyanos y técnicas para comprometer los dispositivos y luego crear una nueva cuenta de acceso de puerta trasera utilizando el nombre de usuario como "mother (madre)" y la contraseña como "fucker (hijo de puta)".

Una vez registrado, el atacante obtiene la lista de todas las máquinas de Linux comprometidas con éxito, y luego se registra en ellas a través del protocolo SSH e instala el servidor proxy SOCKS5 usando el malware Linux.Proxy.10 en él.

Este malware de Linux no es nada sofisticado ya que utiliza un código fuente gratuito del servidor Satanic Socks para configurar un proxy. Según la firma de seguridad, ya han sido infectados con este nuevo troyano miles de dispositivos basados en Linux.

servidores proxy comprometidos

Además, el mismo servidor - perteneciente a los ciberdelincuentes que distribuyen el malware Linux.Proxy.10 - no sólo contenía la lista de dispositivos comprometidos, sino que también alojaba el panel de control de un software de monitoreo de computadora Spy-Agent y un malware de Windows de una conocida familia de spyware troyano, llamado BackDoor.TeamViewer .

Esta no es la primera vez que se descubre este malware Linux.

Hace más de un año, los investigadores de seguridad de ESET descubrieron un malware similar, conocido como Moose, que también tenía la capacidad para activar los dispositivos de Linux en servidores proxy que luego fueron utilizados para el lanzamiento de ejércitos de cuentas falsas en las redes de medios sociales, como Instagram y Twitter.

Se recomienda a los usuarios y administradores de Linux que aprieten la seguridad de SSH limitando o inhabilitando el acceso root remoto a través de SSH y, para saber si el sistema ya ha sido comprometido, mantener un seguimiento regular de los usuarios de inicio de sesión recién creados.

Jesus_Caceres