تروجان لینوکس از دستگاه ‏های IOT هک شده برای ارسال ایمیل‏ های اسپم استفاده می‏ کند!

بات‏ نت‎هایی مانند Mirai که قادر به آلوده نمودن دستگاه ‏های IOT ‪(Internet Of Things)‬ مبتنی بر لینوکس هستند، مدام در حال افزایش بوده و عمدتاً برای انجام حملات DDoS طراحی شده ‏اند، اما محققان کشف کرده‏ اند که مجرمان سایبری از بات ‏نت‎ها برای ارسال ایمیل‏ های اسپم استفاده می‏ کنند.
تحقیقات جدید صورت گرفته توسط شرکت امنیتی روسی Doctor Web نشان داده است که یک تروجان لینوکس به نام Linux.ProxyM وجود دارد که مجرمان سایبری از آن جهت ارسال ایمیل‏ های اسپم و کسب درآمد استفاده می‏ کنند.
تروجان لینوکسی  Linux.ProxyM، که ابتدا توسط شرکت امنیتی در ماه فوریه امسال کشف شد یک پراکسی SOCKS را بر روی دستگاه IOT آلوده اجرا می‏ کند و از آنجا که قادر به شناسایی honeypotها می‏ باشد می ‏تواند از دید محققین بدافزار مخفی بماند.
تروجان Linux.ProxyM می‏ تواند تقریباً در تمامی دستگاه ‏های لینوکسی مانند روترها، جعبه‏ های set-top و سایر تجهیزات با معماری زیر عمل کند:
x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh, SPARC

تروجان لینوکس چگونه کار می‏ کند؟
هنگامی که دستگاهی یک بار توسط Linux.ProxyM آلوده می‏ شود، به سرور فرمان و کنترل (C & C) متصل شده و آدرس‏ های دو نود از اینترنت را دانلود می‏ کند:
•    اولین نود لیستی از لاگین‏ ها و رمزهای عبور فراهم می‏ آورد.
•    و دومین نود برای عمل کردن سرور پراکسی SOCKS مورد نیاز است.
سرور C & C ‪(Command & Control)‬ همچنین فرمانی حاوی یک آدرس سرور SMTP، اعتبارهای مورد نیاز برای دسترسی به آن، لیستی از آدرس ایمیل‏ ها و یک قالب پیام که حاوی تبلیغات برای انواع سایت‏ های با محتوای مناسب بزرگسالان است ارسال می ‏نماید.
یک ایمیل معمولی با استفاده از دستگاه ‏های آلوده شده توسط این تروجان ارسال می‏ گردد که شامل پیامی به شکل زیر است:


Subject: Kendra asked if you like hipster girls
A new girl is waiting to meet you.‎
And she is a hottie!‎
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/‎
Check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!‎

به طور متوسط، هر دستگاه آلوده در طول روز حدود ۴۰۰ ایمیل به شکل فوق ارسال می ‏کند.
اگرچه تعداد کل دستگاه‏ هایی که توسط این تروجان آلوده شده ‏اند مشخص نیست، اما تحلیلگران Doctor Web معتقدند که این تعداد در ماه ‏های مختلف تغییر کرده است.
با توجه به حملات Linux.ProxyM طی ۳۰ روز گذشته، اکثردستگاه ‏های آلوده در برزیل و ایالات متحده، و پس از آن در روسیه، هند، مکزیک، ایتالیا، ترکیه، هلند، فرانسه و آرژانتین قرار دارند.
محققان Doctor Web می ‏گویند: "ما احتمال می‏ دهیم که طیف توابع پیاده ‏سازی شده توسط تروجان‏ های لینوکس در آینده گسترش خواهد یافت."
"اینترنت اشیاء (IOT) تا به حال یک نقطه کانونی برای مجرمان سایبری بوده است. توزیع گسترده‏ ی برنامه ‏های لینوکسی مخرب که قادر به آلوده کردن دستگاه ‏های با معماری ‏های سخت ‏افزاری مختلف هستند، می تواند مدرکی برای اثبات این امر باشد."
به منظورمحافظت از دستگاه ‏های هوشمند خود در مقابل هک، می‏ توانید این مقاله را  مطالعه نمایید:

How to Protect All Your Internet-Connected Home Devices From Hackers


منبع:


 http://thehackernews.com/2017/09/linux-malware-iot-hacking.html