بات نتهایی
مانند Miraiکه قادر به آلوده نمودن دستگاه های
IOT (Internet Of Things) مبتنی بر لینوکس هستند، مدام در حال افزایش بوده
و عمدتاً برای انجام حملات DDoS طراحی شده اند، اما محققان کشف کرده اند که
مجرمان سایبری از بات نتها
برای ارسال ایمیل های اسپم استفاده می کنند.
تحقیقات
جدید صورت گرفته توسط شرکت امنیتی روسی Doctor Web نشان
داده است که یک تروجان لینوکس به نامLinux.ProxyM
وجود
دارد که مجرمان سایبری از آن جهت ارسال ایمیل های اسپم و کسب درآمد استفاده میکنند.
تروجان
لینوکسی Linux.ProxyM، که ابتدا توسط شرکت امنیتی در ماه فوریه امسال کشف شد یک پراکسی
SOCKS را بر
روی دستگاه
IOT آلوده
اجرا میکند و از آنجا که قادر به شناساییhoneypotها می
باشد می تواند از دید محققین بدافزار مخفی بماند.
تروجانLinux.ProxyM میتواند تقریباً در تمامی دستگاه های لینوکسی مانند روترها، جعبه
های
set-top و سایر
تجهیزات با معماری زیر عمل کند:
x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000,
Superh, SPARC
تروجان
لینوکس چگونه کار می کند؟
هنگامی
که دستگاهی یک بار توسط Linux.ProxyM آلوده می شود، به سرور فرمان و کنترل
(C & C) متصل
شده و آدرس های دو نود از اینترنت را دانلود می کند:
• اولین نود لیستی از لاگین ها
و رمزهای عبور فراهم می آورد.
• دومین نود برای عمل کردن سرور پراکسی SOCKS مورد
نیاز است.
سرور C & C (Command & Control) همچنین
فرمانی حاوی یک آدرس سرور SMTP، اعتبارهای مورد نیاز برای دسترسی به آن، لیستی از آدرس ایمیل ها
و یک قالب پیام که حاوی تبلیغات برای انواع سایت های با محتوای مناسب بزرگسالان
است ارسال می نماید.
یک
ایمیل معمولی با استفاده از دستگاه های آلوده شده توسط این تروجان ارسال می گردد
که شامل پیامی به شکل زیر است:
Subject: Kendra asked if you like hipster girls
A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
Check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!
به طور
متوسط، هر دستگاه آلوده در طول روز حدود ۴۰۰ ایمیل
به شکل فوق ارسال می کند.
اگرچه
تعداد کل دستگاه هایی که توسط این تروجان آلوده شده اند مشخص نیست، اما
تحلیلگران
Doctor Web معتقدند
که این تعداد در ماه های مختلف تغییر کرده است.
با
توجه به حملاتLinux.ProxyMطی ۳۰ روز گذشته، اکثردستگاه های آلوده در برزیل و
ایالات متحده، و پس از آن در روسیه، هند، مکزیک، ایتالیا، ترکیه، هلند، فرانسه و
آرژانتین قرار دارند.
محققان
Doctor Web می
گویند: "ما احتمال می دهیم که طیف توابع پیاده سازی شده توسط تروجان های
لینوکس در آینده گسترش خواهد یافت."
"اینترنت
اشیاء
(IOT) تا به
حال یک نقطه کانونی برای مجرمان سایبری بوده است. توزیع گسترده ی برنامه های
لینوکسی مخرب که قادر به آلوده کردن دستگاه های با معماری های سخت افزاری مختلف
هستند، می تواند مدرکی برای اثبات این امر باشد."
به منظورمحافظت
از دستگاه های هوشمند خود در مقابل هک، می توانید این مقاله را مطالعه نمایید:
How to
Protect All Your Internet-Connected Home Devices From Hackers