Новый linux-червь атакует камеры, роутеры и ресиверы

Новый linux-червь атакует камеры, роутеры и ресиверы

Специалисты по информационной безопасности говорят об обнаружении вредоносного кода для операционной системы Linux, способного заражать широкий диапазон домашнего оборудования - интернет-роутеры, спутниковые и кабельные ресиверы, камеры наблюдения и другие устройства на базе Linux-подобной среды и с поддержкой интернет-соединений.



Вредонос Linux.Darlloz представляет собой класс сетевых червей, причем червей, ориентированных на низкоуровневый доступ. Учитывая это, существующие пока версии Darlloz поддерживают только процессоры Intel. В антивирусной компании Symantec говорят, что в будущем возможны и другие версии вредоноса, с более широкой поддержкой процессоров. Кроме того, в Symantec говорят, что есть варианты кода, доступные в ELF-формате (executable and linkable format), которые могут быть опасны для широкого спектра устройств «Internet of Things», в том числе и на базе процессоров ARM, MIPS, MIPSEL и других, пишет cybersecurity.ru.

«При попадании кода в систему, происходит его исполнение, а затем червь начинает генерировать IP-ареса, получая доступ к тем или иным узлам системы за счет ID и паролей. Параллельно с этим, код передает HTTP Post-запросы, эксплуатирующие те или иные уязвимости. Если целевая система им подвержена, она скачивает дополнительные программы с удаленных серверов и начинает искать новые цели. Сейчас червь инфицирует только устройства с чипами Intel x86, так как его эксплоит-код жестко подлинкован к ELF-библиотеке», - говорят в Symantec.

В компании говорят, что в конечном итоге Darlloz эксплуатирует те уязвимости, что были закрыты производителями еще год или полтора назад, поэтому в Symantec говорят, что червь опасен, прежде всего пользователям старых устройств на базе открытого софта.

Фейковый 7-Zip превращал компьютеры в прокси-узлы для чужого трафика

Исследователи раскрыли новую группировку Lurking Lizard, которая несколько лет строила бизнес на вредоносных резидентских прокси. Проще говоря, злоумышленники заражали устройства пользователей и превращали их в прокси-узлы, через которые потом можно гонять чужой интернет-трафик.

Владелец устройства при этом мог даже не подозревать, что его домашний IP уже работает на чей-то мутный бизнес.

По данным Infoblox, активность Lurking Lizard прослеживается как минимум с августа 2022 года. Инфраструктура группировки включает более 230 доменов-двойников. Один из свежих примеров — кампания с троянизированным установщиком 7-Zip на домене 7zip[.]com. Пользователь думает, что качает архиватор, а на деле может записать своё устройство в прокси-ботнет.

Группировка не ограничивалась одним брендом. Lurking Lizard имитировала крупные прокси-сервисы, включая IPIDEA, SmartProxy, IP Royal и 911Proxy, а также запускала фейковые независимые сайты с обзорами, чтобы загонять трафик на собственные витрины.

 

Отдельный трюк — покупка истёкших доменов с уже накопленной репутацией. В ход шли и похожие адреса: например, 7zip[.]com вместо настоящего 7-zip[.]org. Однако инфраструктура Lurking Lizard использовалась не только для фейкового 7-Zip.

Исследователи нашли поддельные установщики WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), псевдоинструменты для скачивания TikTok и YouTube, а также WireVPN. Кампания цепляла пользователей Windows, macOS и Android. Одно Android-приложение под брендом WireVPN набрало более 1 млн загрузок, хотя неясно, насколько они были органическими.

Схема работает в два этапа: сначала жертв заманивают троянизированными установщиками, приложениями и сайтами-двойниками, а затем заражённые устройства продают как часть прокси-сети. В итоге чужой телевизор, ноутбук или смартфон может внезапно стать транспортом для подозрительного трафика, а проблемы прилетят владельцу IP.

RSS: Новости на портале Anti-Malware.ru