Recientemente se ha descubierto circulando por Internet un nuevo troyano para Linux que convierte los dispositivos que infecta en servidores proxy. Los atacantes podrían usar esos dispositivos secuestrados para lanzar ciberataques como los que afectaron a OVH el año pasado.

El troyano ha sido bautizado como Linux.Proxy.10 y su presencia fue alertada a finales del año pasado por los investigadores rusos de Doctor Web, que por otro lado identificaron miles de dispositivos comprometidos en estos últimos días como parte de una campaña todavía en marcha para cazar máquinas Linux.

Según los investigadores, el malware no incluye ningún módulo de explotación para hackear sistemas Linux. En su lugar, los atacantes están usando otros troyanos y técnicas para comprometer dispositivos, creando para ello una puerta trasera en el login de acceso que utiliza como nombre de usuario “mother” y de contraseña “fucker”.

Una vez se haya conseguido explotar la puerta trasera con éxito, el atacante obtiene una lista de todos las máquinas comprometidas, pudiendo acceder a estas mediante SSH e instalar el servidor proxy SOCKS5 utilizando Linux.Proxy.10. Sin embargo, el malware no es para nada sofisticado el usar el código fuente de Satanic Socks Server para configurar un proxy.

Además, el mismo servidor utilizado por los ciberdelincuentes para distribuir Linux.Proxy.10 no solo contiene una lista de los dispositivos comprometidos, sino que también un panel de control de un agente espía que es en realidad un software de monitorización y un troyano spyware para Windows llamado BackDoor.TeamViewer.

Se recomienda tanto a administradores como a usuarios mejorar la seguridad de SSH limitando o desactivando el acceso como root (el administrador del sistemas de Linux), y en caso de haber sido infectado, observar los nuevos logins de usuario generados por el malware.

Fuente | The Hacker News