Una nuova minaccia per dispositivi Linux sta diffondendosi piuttosto rapidamente. Si chiama Linux.Proxy.10, è un Trojan che trasforma le macchine Linux in server proxy utilizzati durante i cyber-attacchi per nascondere la reale identità di chi vi partecipa.
Linux.Proxy.10 è stato scoperto alla fine del 2016 dai ricercatori di Doctor Web; seguendone l’evoluzione, hanno scoperto che a inizio gennaio erano ormai centinaia le macchine compromesse e il numero sta crescendo a buon ritmo.
A quanto pare, il trojan viene utilizzato prima di tutto per entrare nel sistema e creare il login per un account backdoor con username “mother” e password “fucker” – inutile tradurlo, anni di Internet vi avranno resi edotti di cosa motherfucker significhi – e poi, ottenuta la lista di tutte le macchine Linux compromesse con successo, viene effettuato il login in ognuna di loro tramite protocollo SSH. A questo punto viene installato il server proxy SOCKS5.
Questo malware utilizza del semplice codice sorgente freeware. Secondo i ricercatori, lo stesso server appartenente ai cyber criminali che distribuiscono Linux.Proxy.10, ospita anche il pannello di controllo di un software per il monitoraggio dei computer Spy-Agent e un malware per Windows noto come BackDoor.TeamViewer.
Come difendersi da Linux.Proxy.10
I possessori di macchine Linux possono difendersi limitando o bloccando l’accesso remoto via SSH. Per sapere se il vostro sistema è già stato infettato dovete controllare regolarmente se vengono generati nuovi accessi utente.