Troyano utiliza miles de dispositivos Linux como servidores proxyFue descubierto un nuevo troyano que convierte dispositivos Linux en servidores proxy que los atacantes pueden utilizar para proteger su identidad mientras lanzan ciberataques desde sistemas secuestrados.
Llamado Linux.Proxy.10, el troyano fue visto por primera vez a finales del año pasado por investigadores de la firma rusa Dr. Web, quienes para enero de este año identificaron miles de máquinas comprometidas. La campaña sigue activa y en busca de más máquinas Linux para infectar.
De acuerdo con los investigadores, el malware por sí mismo no incluye ningún módulo de explotación para intervenir equipos Linux, por el contrario, los atacantes utilizan otros troyanos y distintas técnicas para comprometer los dispositivos y crear una cuenta de acceso de puerta trasera con el nombre “Mother” y con la contraseña “Fucker”. Una vez que se tiene el acceso y que se tiene la lista de todas las máquinas Linux comprometidas, accede al sistema a través del protocolo SSH e instala un servidor proxy SOCKS5 usando el malware Linux.Proxy.10 para ello.
Este malware de Linux no es tan sofisticado puesto que utiliza código fuente libre de Satanic Socks Server para configurar un proxy. De acuerdo con la firma de seguridad, miles de dispositivos basados en Linux ya han sido infectados con este nuevo troyano.
Además de esto, el mismo servidor, el cual pertenece a los cibercriminales que distribuyen Linux.Proxy.10, no solo contiene la lista de los servidores comprometidos, también almacena un panel de control del software de monitoreo de cómputo Spy-Agent y un malware de Windows de una conocida familia de troyanos llamada BackDoor.TeamViewer.
Esta no es la primera vez que se descubre malware para Linux. Hace aproximadamente un año, investigadores de ESET descubrieron un malware similar llamado Moose, también tenía la capacidad de convertir dispositivos Linux en servidores Proxy que eran utilizados para lanzar un ejército de cuentas falsas en redes de medios sociales, entre ellas Twitter e Instagram.
Se les recomienda a los usuarios y administradores de Linux fortalecer su seguridad SSH limitando o deshabilitando el acceso remoto de root a través de SSH. Para saber si tu sistema ha sido comprometido, mantente alerta de la creación de nuevas cuentas de acceso.