Septembre devrait être un mois criblé de logiciels malveillants. Nous avons déjà vu plusieurs Les chevaux de Troie bancaires, quelques nouvelles et quelques-uns ont renouvelé, et une forte vague de variantes de ransomware crysis / Troldesh. Cependant, ce qui est loin de tout ce qui se passe à l'horizon malveillant au moment. Nous venons d'écrire sur une botnet Twitter-alimenté compromettre les appareils Android et laisser tomber les logiciels malveillants bancaire. Maintenant, nous allons nous concentrer sur Linux.PNScan - un vieux cheval de Troie avec une version améliorée qui est actuellement en cours d'exécution vise les routeurs basés sur Linux firmware en Inde.
La recherche indique que Linux.PNScan est apparu en ligne en Août 2015. C'est alors entreprise de sécurité Dr.Web décrit deux variantes du malware. Ces variantes ont ensuite été détectées ciblant les routeurs en Septembre.
A Closer Look dans Linux.PNScan Malware
Selon les recherches menées par le Dr. Web et MalwareMustDie!, le malware est un binaire ELF ciblant spécifiquement les routeurs sur ARM, MIPs, ou architectures PowerPC.
Dans les attaques précédentes, le malware a été déployée principalement pour les attaques DDoS, soutenir ACK, SYN, et UDP inondations de paquets. Les versions précédentes de Linux.PNScan avaient également des capacités de type ver, leur permettant de se propager à d'autres routeurs basés sur le firmware Linux.
- Linux.PNScan.1 a été déployé dans des attaques basées sur les dictionnaires qui tentent de la force brute d'autres appareils.
- Linux.PNScan.2 n'a été détecté pour utiliser trois nom d'utilisateur – combos de mot de passe: root / root; admin / admin; et UBNT / UBNT.
Quoi de neuf dans Linux.PNScan versions ultérieures?
Selon la MalwareMustDie!, le malware a été mis à jour et est maintenant capable d'attaquer les routeurs Linux fonctionnant sur x86 (i86) architecture, qui est plus fréquent.
Le chercheur écrit que:
Le malware […] est hardcoded viser [au] 183.83.0.0/16 segment (situé dans la zone de réseau de Telangana et du Cachemire région de l'Inde), où il a été simplement repéré.
Le chercheur estime que ces nouvelles attaques sont une évolution de Linux.PNScan.2 parce qu'il continue d'utiliser seulement trois informations d'identification d'administration lorsque brute forçant d'autres routeurs. Aucune attaque de dictionnaire a été détectée.
Dans le cas où votre routeur a été infecté, vous pouvez vous référer à cette routeur article de suppression des logiciels malveillants pour obtenir des instructions.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: