Usan troyano de Linux en dispositivos de Internet de las cosas para enviar spam

22/09/2017

Botnets como Mirai, que son capaces de infectar dispositivos de Internet de las cosas basados en Linux, están en constante crecimiento y están principalmente diseñadas para conducir ataques de Denegación de Servicio (DDoS) distribuida, pero los investigadores han descubierto que los cibercriminales están empleando botnets para el envío masivo de spam.

La nueva investigación, conducida por la firma de seguridad rusa Doctor Web, ha revelado que el troyano para Linux llamado Linux.ProxyM, que los cibercriminales emplean para asegurar su anonimato en línea, ha sido actualizado recientemente para agregar capacidad de envío de spam masivo para ganar dinero.

Linux.ProxyM, inicialmente descubierto por la firma de seguridad en febrero de este año, ejecuta un servidor proxy SOCKS en un dispositivo de Internet de las cosas infectado y es capaz de detectar honeypots para esconderse de los investigadores de malware.

También puede operar en casi todos los dispositivos Linux, incluyendo routers, decodificadores y otros equipos que cuentan con las siguientes arquitecturas: x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh y SPARC.

Así es como opera

Una vez infectado con Linux.ProxyM, el dispositivo se conecta a un servidor de mando y control (C&C) y descarga las direcciones de Internet de 2 nodos:

  • El primero proporciona una lista de usuarios y contraseñas.
  • El segundo es necesario para que el servidor proxy SOCKS funcione.

El servidor C&C también manda un comando que contiene la dirección de un servidor SMTP, las credenciales necesarias para ingresar, una lista de correos electrónicos y una plantilla de mensaje, la cual contiene publicidad de varios sitios para adultos.

Un correo típico enviado mediante los dispositivos infectados con este troyano es el siguiente:

Subject: Kendra asked if you like hipster girls

A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
Check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!

En promedio, cada dispositivo infectado envía 400 correos por día.

Sin embargo, el número total de dispositivos infectados con este troyano se desconoce, los analistas de Doctor Web creen que el número cambia con los meses.

De acuerdo con los ataques realizados por Linux.ProxyM durante los últimos 30 días, la mayoría de los dispositivos infectados están ubicados en Brasil, EE. UU., seguido por Rusia, India, México, Italia, Turquía, Polonia, Francia y Argentina.

“Podemos presumir que el rango de funciones implementadas por los troyanos para Linux se ampliará en el futuro”, indicaron los investigadores de Doctor Web.

“El Internet de las cosas ha sido por largo tiempo un punto focal para los cibercriminales. La amplia distribución de programas maliciosos para Linux, capaces de infectar dispositivos con distintos tipos de arquitectura en su hardware es prueba de ello”.

Artículos relacionados: