Settembre è prevista per un mese crivellato da malware. Abbiamo già visto diversi banking Trojan, alcuni nuovi e un po 'rinnovato, e una forte onda di CRYSIS / Troldesh varianti ransomware. Tuttavia, questo è lontano da tutto ciò che accade all'orizzonte dannoso in questo momento. Abbiamo appena scritto su un botnet Twitter alimentati compromettere i dispositivi Android e far cadere il malware bancario. Ora ci concentreremo sul Linux.PNScan - un vecchio cavallo di Troia con una versione migliorata che è attualmente di mira i router con firmware basato su Linux in India.
La ricerca indica che Linux.PNScan la prima volta on-line nel mese di agosto 2015. Questo è quando società di sicurezza Dr.Web divulgato due varianti del malware. Quei varianti sono state successivamente rilevate mira i router a settembre.
Un esame più attento in Linux.PNScan Malware
Secondo una ricerca effettuata da Dr. Web e MalwareMustDie!, il malware è un binario ELF specificamente di mira i router su ARM, MIP, o architetture PowerPC.
In attacchi precedenti, il malware è stato schierato per lo più per gli attacchi DDoS, supporto ACK, SYN, e inondazioni pacchetti UDP. Le versioni precedenti di Linux.PNScan avevano anche capacità vermiformi, consentendo loro di diffondere ad altri router basato su firmware Linux.
- Linux.PNScan.1 è stato distribuito in attacchi basati su dizionario tentano di forza bruta altri dispositivi.
- Linux.PNScan.2 è stato rilevato usare solo tre nome utente – combo di password: root / root; admin / admin; e ubnt / ubnt.
Novità di Linux.PNScan versioni successive?
Secondo MalwareMustDie!, il malware è stato aggiornato ed è ora in grado di attaccare i router Linux in esecuzione su x86 (I86) architettura, che è più comune.
Il ricercatore scrive che:
il malware […] è hardcoded a scopo [al] 183.83.0.0/16 segmento (situato nella zona rete di Telangana e Kashmir regione dell'India), dove è stato appena avvistato.
Il ricercatore ritiene che questi nuovi attacchi sono un'evoluzione di Linux.PNScan.2 perché continua a utilizzare solo tre set di credenziali di amministratore quando bruta costringendo altri router. Nessun attacco dizionario è stato rilevato.
Nel caso in cui il router è stato infettato, è possibile fare riferimento a questo articolo di rimozione malware router per le istruzioni.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: