Software::Web
Dr. Web warnt vor altem IoT-Linux-Trojaner
Der Antiviren-Softwarehersteller Dr. Web warnt vor einem Trojaner, der Linux-Systeme befällt und für den Versand von Spam eingesetzt werden soll. Der als »Linux.ProxyM« bekannte Schädling nutzt zwar keine bekannte Linux-Lücke, dafür aber schlecht abgesicherte IoT-Geräte.
Mirko Lindner
Mitarbeiter des Antiviren-Softwareherstellers Dr. Web haben laut eigene Aussagen einen Linux-Trojaner untersucht, der Linux-Geräte befällt und zum Spamversand genutzt werden kann. Es handelt sich hierbei um den Schädling
Linux.ProxyM. Der Trojaner startet auf einem infizierten Gerät einen SOCKS-Proxyserver und ist in der Lage, Honeypots zu entdecken, die Sicherheitsspezialisten als Attrappe für Cyberkriminelle dienen. Sobald sich der Trojaner mit seinem Command and Control-Server verbindet und eine Bestätigung von ihm erhält, lädt ProxyM von diesem Server die Adressen von zwei Internetknoten herunter: Der Erste stellt eine Liste von Logins und Passwörtern bereit, der Zweite wird für den Betrieb des SOCKS-Proxyservers benötigt.
Laut Aussage von Dr. Web existieren zwei Builds des Trojaners. Ferner soll der Schädling in der Lage sein, Geräte mit x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC zu attackieren. »Das heißt, Linux.ProxyM kann praktisch alle Linux-Geräte, einschließlich Router, Set-Top Boxen und andere Hardware befallen«, so der Hersteller. Befallene Systeme werden unter anderem zum Versand von Spam genutzt. Dafür wird vom zentralen Server ein Befehl auf das infizierte Gerät gesendet. Dieser beinhaltet die Adresse eines SMTP-Servers, einen Benutzernamen mit Passwort, eine Liste mit E-Mail-Adressen sowie eine Vorlage der E-Mail. Laut der Statistik, die Doctor Web zur Verfügung stehen sollen, verschickt jedes infizierte Gerät auf diese Weise ca. 400 Spam-Mails in 24 Stunden.
»Es ist zu befürchten, dass sich der Funktionsumfang des Trojaners ständig erweitern wird. Die zunehmende Verbreitung verdeutlicht, dass IoT-Geräte längst im Fokus der Cyberkriminellen stehen und mit weiteren Angriffen zu rechnen ist«, schreibt der Hersteller. Ob die Gefahren allerdings tatsächlich so groß sein werden, steht noch nicht fest. Denn der Schädling ist seit mindestens Anfang des Jahres im Umlauf und seit einer Weile mit einer kleinen Gefahrentuffe versehen. So hat selbst der Hersteller bereits im Juni über Linux.ProxyM berichtet und im Gleichklang mit anderen Antivirusproduzenten den vor allem im asiatischen Raum auftretende Schädling als recht harmlos betrachtet.
Grund für das relativ kleine Gefahrenpotenzial ist unter anderem die Funktionsweise; So nutzt Linux.ProxyM keine bekannte Linux-Sicherheitslücke, sondern lediglich schwach abgesicherte und über das Internet erreichbare Router. Eine größere Verbreitung von Linux.ProxyM würde deshalb vor allem über eine gewachsene Anzahl an potenziell angreifbaren Systemen zeugen und Linux laut Dr. Web für Cyber-Kriminelle attraktiv machen.
){kind=small}
