Linux.ProxyM僵尸网络再次发起疯狂攻击，感染过万台设备

Docker Web的安全专家发现了一个新的IoT僵尸网络，它使用了Linux.ProxyM恶意软件，正试图攻击网站。

Linux.ProxyM是一款Linux恶意软件，它在受感染的设备上通过SOCKS代理服务器创建一个代理网络，用于转发恶意流量，掩盖其真实来源。

根据Dr. Web的说法，Linux.ProxyM最初于今年2月被发现，在5月下旬其活动达到顶峰，到7月份感染Linux.ProxyM的设备数量已经达到了1万台。

Linux.ProxyM能够兼容多种体系架构，包括 x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000, and SPARC。

Linux ProxyM是Linux平台的恶意程序，它在受感染的设备上启动SOCKS代理服务器。网络罪犯可以用它来发起匿名的破坏行动。

已知的这种恶意软件可以运行在x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000和SPARC这些架构中。这意味着Linux ProxyM几乎可以感染任何Linux设备，包括路由器、机顶盒和其他类似的设备。

今年9月，使用Linux.ProxyM组建的僵尸网络最初用于发送垃圾邮件。据估计，每台被感染设备，每天发送近400封邮件。

后来，攻击者使用僵尸网络发送钓鱼邮件，新的邮件以“DocuSign”的名义发送，这家公司提供电子签名技术和数字交易管理服务，以便于电子合同和签名文件的交换。

邮件包含了一个指向伪造的DocuSign网站登录页面的链接，网络罪犯利用这种模式来欺骗受害者输入其密码。然后，受害者将被重定向到真正的DocuSign登录页面。

到12月，攻击者开始使用Linux.ProxyM僵尸网络攻击网站，包括SQL注入、XSS（跨站脚本）和本地文件包含（LFI）。被攻击的网站包含游戏服务器、论坛和其他主题资源网站、甚至战斗民族网站（原文中战斗民族网站是单独列出的==）。

在12月7日，Dr. Web的安全研究人员观察到Linux.ProxyM僵尸网络发起的攻击次数达到了2万次。而在大约一个月前，这个僵尸网络每天发动的攻击次数接近4万次。

“虽然Linux.ProxyM仅有一个功能 - 作为代理服务器。但是，网络罪犯在不断的寻找新的利用方式，将其用于非法行为，并表现出对物联网设备越来越大的兴趣。”

来源：securityaffairs

本文由看雪翻译小组 ljcnaix 编译

往期热门内容推荐