Обнаружен троян, превращающий Linux-машины в прокси

Новые угрозы для Linux-систем стали появляться заметно чаще, и обнаруженный экспертами компании «Доктор Веб» троян Linux.Proxy.10 – лишнее тому доказательство.
Специалисты пишут, что малварь была найдена в январе 2017 года и уже успела инфицировать несколько тысяч устройств. Как и следует из названия, присвоенного вредоносу, он предназначен для запуска на устройстве жертвы SOCKS5-прокси сервера, основанного на свободно распространяемых исходных кодах утилиты Satanic SOCKS Server. Злоумышленники используют этого трояна для обеспечения собственной анонимности в интернете.

Хакер: Обнаружен троян, превращающий Linux-машины в прокси

Для распространения малварь хакеры авторизуются на уязвимых узлах, используя SSH. При этом список узлов, а также логин и пароль к ним хранятся на сервере злоумышленников. Список имеет следующий вид: «IP-адрес:login:password». Исследователи отмечают, что пользователей с такими учетными данными как правило создают в системе другие Linux-трояны. То есть Linux.Proxy.10 проникает на устройства, либо имеющие стандартные настройки, либо уже инфицированные другой Linux-малварью. Через использование вышеупомянутого списка формируется сценарий, который выполняется на заражаемых устройствах при помощи утилиты sshpass. Так и происходит заражение Linux.Proxy.10.

Также помимо списков уязвимых узлов исследователи обнаружили на серверах злоумышленников панель управления Spy-Agent и сборку вредоносной программы для WINDOWS, относящейся к известному семейству шпионских троянов BackDoor.TeamViewer.

Хакер: Обнаружен троян, превращающий Linux-машины в прокси

Чтобы подключиться к прокси-серверу, запущенному при помощи Linux.Proxy.10, злоумышленникам достаточно знать только IP-адрес девайса и номер порта, который сохраняется в теле троянца при его компиляции.
Читать дальше

Alice заставляет банкоматы выдавать наличные

В ноябре текущего года эксперты Европола и Trend Micro обнаружили новое семейство вредоносного ПО, позволяющее злоумышленникам с физическим доступом к портам банкомата заставить устройство выдавать наличные. По словам исследователей, Alice используется по крайней мере с 2014 года.
Получив физический доступ к портам USB или CD-ROM, преступники загружали на систему банкомата вредонос, а затем подключали клавиатуру, с помощью которой взаимодействовали с ПО. Для запуска Alice злоумышленники должны были вводить PIN-код. Данная мера призвана защитить вредонос от дельнейшего исследования на случай, если он будет обнаружен сотрудниками банка.

PIN-код также играл роль идентификационного номера, присвоенного каждому «денежному мулу» и позволяющего киберпреступникам отслеживать, кто, когда и где снял деньги с банкомата. «Денежные мулы» представляют собой низшее звено преступной группировки, занятое исключительно снятием и перемещением похищенных денежных средств.

После введения PIN-кода начиналось выполнение вредоносного кода. В отличие от других подобных программ Alice состоит лишь из одного компонента, соединяющего процессы вредоноса с диспенсером банкнот.
В Alice реализована поддержка протокола RDP, однако злоумышленники никогда им не пользовались. Дело в том, что для использования RDP им нужно было либо заранее знать пароль RDP для каждого банкомата, либо угадать его с помощью брутфорс-атаки.
Читать дальше