Settembre è prevista per un mese crivellato da malware. Abbiamo già visto diversi banking Trojan, alcuni nuovi e un po 'rinnovato, e una forte onda di CRYSIS / Troldesh varianti ransomware. Tuttavia, questo è lontano da tutto ciò che accade all'orizzonte dannoso in questo momento. Abbiamo appena scritto su un botnet Twitter alimentati compromettere i dispositivi Android e far cadere il malware bancario. Ora ci concentreremo sul Linux.PNScan - un vecchio cavallo di Troia con una versione migliorata che è attualmente di mira i router con firmware basato su Linux in India.
La ricerca indica che Linux.PNScan la prima volta on-line nel mese di agosto 2015. Questo è quando società di sicurezza Dr.Web divulgato due varianti del malware. Quei varianti sono state successivamente rilevate mira i router a settembre.
Un esame più attento in Linux.PNScan Malware
Secondo una ricerca effettuata da Dr. Web e MalwareMustDie!, il malware è un binario ELF specificamente di mira i router su ARM, MIP, o architetture PowerPC.
In attacchi precedenti, il malware è stato schierato per lo più per gli attacchi DDoS, supporto ACK, SYN, e inondazioni pacchetti UDP. Le versioni precedenti di Linux.PNScan avevano anche capacità vermiformi, consentendo loro di diffondere ad altri router basato su firmware Linux.
- Linux.PNScan.1 è stato distribuito in attacchi basati su dizionario tentano di forza bruta altri dispositivi.
- Linux.PNScan.2 è stato rilevato usare solo tre nome utente – combo di password: root / root; admin / admin; e ubnt / ubnt.
Novità di Linux.PNScan versioni successive?
Secondo MalwareMustDie!, il malware è stato aggiornato ed è ora in grado di attaccare i router Linux in esecuzione su x86 (I86) architettura, che è più comune.
Il ricercatore scrive che:
il malware […] è hardcoded a scopo [al] 183.83.0.0/16 segmento (situato nella zona rete di Telangana e Kashmir regione dell'India), dove è stato appena avvistato.
Il ricercatore ritiene che questi nuovi attacchi sono un'evoluzione di Linux.PNScan.2 perché continua a utilizzare solo tre set di credenziali di amministratore quando bruta costringendo altri router. Nessun attacco dizionario è stato rilevato.
Nel caso in cui il router è stato infettato, è possibile fare riferimento a questo articolo di rimozione malware router per le istruzioni.