Wie funktioniert Linux.ProxyM?
Wie es dazu heißt, startet der Trojaner auf einem infizierten Gerät einen SOCKS-Proxyserver und ist in der Lage, Honeypots zu entdecken, die Sicherheitsspezialisten als Attrappe für Cyberkriminelle dienen.
Sobald sich der Trojaner mit seinem Command and Control (C&C)-Server verbindet und eine Bestätigung von ihm erhält, lädt ProxyM von diesem Server die Adressen von zwei Internetknoten herunter: Der erste stellt eine Liste von Logins und Passwörtern bereit, der zweite wird für den Betrieb des SOCKS-Proxyservers benötigt.
Spam-Nachrichten via ProxyM
ProxyM wird zusätzlich für den Versand von Spam-Nachrichten genutzt, beworben werden meist „Webseiten für Erwachsene“. Der C&C-Server schickt dabei die Adressen der Ziele an die jeweils infizierten Geräte.
Es existieren zwei Varianten des Trojaners, der damit in der Lage ist, Geräte mit
- x86
- MIPS
- MIPSEL
- PowerPC
- ARM
- Superh
- Motorola 68000 und
- SPARC
zu attackieren. Das heißt, Linux.ProxyM kann praktisch alle Linux-Geräte, einschließlich Router, Set-Top Boxen und andere Hardware befallen. Laut Dr. Web kommen die Angriffe vor allem aus Russland, China und Taiwan - ob dort allerdings auch die Hintermänner sind, lässt sich nur schwer sagen.
Weiterführende Links:
security-insider.de: Kriminelle greifen IoT-Geräte an
