«Доктор Веб» сообщил, что его исследовали обнаружили две вредоносные программы для ОС Linux. Одна из них устанавливает на инфицированном устройстве приложение для добычи криптовалют, вторая — запускает прокси-сервер.
Первый из двух исследованных специалистами «Доктор Веб» троянцев Linux.MulDrop.14 атакует исключительно миникомпьютеры Rasberry Pi.
Распространение Linux.MulDrop.14 началось во второй половине мая. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. Linux.MulDrop.14 меняет пароль на зараженном устройстве, распаковывает и запускает майнер, после чего в бесконечном цикле начинает искать в сетевом окружении узлы с открытым портом 22. Соединившись с ними по протоколу SSH, троянец пытается запустить на них свою копию.
Другой троянец получил название Linux.ProxyM. Атаки с его использованием фиксировались еще с февраля 2017 года, но пика достигли во второй половине мая.
Значительная часть IP-адресов, с которых осуществляются атаки, расположена на территории России. На втором месте — Китай, на третьем — Тайвань.
Троянец использует специальный набор методов для детектирования ханипотов — специальных серверов-приманок, применяемых специалистами по информационной безопасности для исследования вредоносного ПО. После старта он соединяется с управляющим сервером и, получив от него подтверждение, запускает на инфицированном устройстве SOCKS-прокси-сервер. Злоумышленники могут использовать его для обеспечения собственной анонимности в Интернете.