محققان امنیتی هشدار دادند بات نتی از دستگاه های اینترنت اشیاء مبتنی بر لینوکس در حال حاضر برای اجرای حمله و نفوذ علیه وب سایت ها مورد استفاده قرار می گیرند. این بدافزار با نام Linux.ProxyM تقریبا از فوریه ی امسال فعال بوده و قبلا در پویش های هرزنامه ای مورد بهره برداری قرار می گرفت. این بدافزار بر روی دستگاه های قربانی پروکسی سرور SOCKS را نصب کرده و در ادامه با استفاده از این پروکسی ها حملات خود را به طور مخفیانه انجام می دهد.
تاکنون مشاهده شده است که این بدافزار، دستگاههایی با معماریهای x86، MIPS، MIPSEL، PowerPC، ARM، Superh، Motorola 68000 و SPARC را هدف قرار داده است. محققان میگویند این بدافزار میتواند دستگاههای دیگر مانند مسیریابها و ستاپباکسهای مبتنی بر لینوکس را نیز هدف قرار دهد. محققان میگویند این باتنت در پویش قبلی برای ارسال هرزنامه مورد بهرهبرداری قرار میگرفت و هر دستگاه آلوده این قابلیت را داشت تا هر روز نزدیک به ۴۰۰ هرزنامه ارسال کند.
کمی بعدتر، باتنت ارسال پیامهای فیشینگ را آغاز کرد. به نظر میرسید این پیامها از طرف DocuSign که یک سرویسدهنده برای مشاهده، امضاء و ردیابی و دانلود اسناد الکترونیکی است، ارسال شده است. در این پیام فیشینگ یک لینک به وبسایت DocuSign وجود داشت که در پس آن یک فرم احراز هویت به کاربر نشان داده میشد و سعی دارد کاربر را متقاعد کند تا گواهینامههای خود را وارد کند. پس از آن کاربران به صفحهی احراز هویت DocuSign هدایت میشدند هرچند که اطلاعات گواهینامههای آنها برای مهاجمان ارسال شده بود.
در ماه دسامبر، پویش پروکسی سرور مربوط به Linux.ProxyM شروع به کار کرد و با استفاده از روشهای مختلف مانند تزریق SQL و XSS به وبسایتها نفوذ میکرد. مهاجمانی که کنترل این باتنت را در دست دارند، سرورهای بازیها و انجمنها، منابع در سایر موضوعات و وبسایتهای روسی را هدف قرار میدهند. در تاریخ ۷ دسامبر، محققان امنیتی نزدیک به ۲۰ هزار حمله توسط این باتنت را مشاهده کردند. تقریبا یک ماه قبل نیز باتنت توانسته بود در یک روز ۴۰ هزار حمله انجام دهد.
