Request Support  | Contact Sales

Diventa Autore per CoreTech | Scopri di più





Doctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"

11/12/17 coretech News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Doctor Web già riferiva di un trojan, denominato Linux.ProxyM, che è in grado di infettare dispositivi "intelligenti" dotati di SO Linux. A settembre i malintenzionati lo utilizzavano per inviare messaggi di spam, mentre di recente viene utilizzato per hackerare siti web.

Linux.ProxyM è un programma malevolo per SO della famiglia Linux che avvia sul dispositivo infetto un server proxy SOCKS. Attraverso questo proxy i criminali informatici possono commettere varie azioni distruttive in anonimato. Sono conosciuti i build di questo trojan per i dispositivi con l'architettura x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 e SPARC. Questo significa che Linux.ProxyM può infettare praticamente qualsiasi dispositivo con Linux, inclusi i router, i set-top box e altre apparecchiature simili.

A settembre gli analisti Doctor Web sono venuti a sapere che i malintenzionati inviavano attraverso Linux.ProxyM più di 400 messaggi di spam al giorno da ciascuno dispositivo infetto. I messaggi pubblicizzavano risorse "per adulti" e servizi finanziari inattendibili. Poco tempo dopo i criminali informatici hanno iniziato a utilizzare "l'Internet degli oggetti" per distribuire messaggi di phishing. Tali messaggi venivano inviati sotto mentite spoglie di DocuSign — un servizio che consente di caricare, visualizzare, firmare e tenere traccia dello stato dei documenti elettronici.

screenshot Linux.ProxyM #drweb

Se l'utente cliccava sul link in un messaggio, passava a un falso sito DocuSign con un modulo di autenticazione. Dopo aver immesso la password, la vittima dei truffatori veniva reindirizzata sulla vera pagina di autenticazione di DocuSign, mentre i contenuti del modulo di phishing venivano inviati ai malintenzionati.

screenshot Linux.ProxyM #drweb

A dicembre i criminali informatici hanno iniziato a utilizzare in un altro modo i dispositivi infettati da Linux.ProxyM: utilizzando il server proxy implementato nel trojan per preservare l'anonimato, loro hanno iniziato a fare numerosi tentativi di violazione di siti web. I malintenzionati impiegano diversi metodi di violazione: SQL injection (integrazione di codice malevolo SQL in una query del database del sito), XSS (Cross-Site Scripting) – un metodo di attacco che consiste nell'aggiunta alla pagina di uno script malevolo che viene eseguito sul computer ad apertura di tale pagina, e Local File Inclusion (LFI). Questo tipo di attacco permette ai malintenzionati di leggere in remoto file sul server attaccato tramite comandi appositamente formati. Tra i siti web attaccati sono stati notati server di gioco, forum e inoltre risorse di altri focus tematici, tra cui anche quelle russe.

Gli specialisti Doctor Web continuano a monitorare l’attività della botnet di Linux.ProxyM. Il grafico del numero di attacchi registrati di questo trojan è presentato di seguito.

График количества зафиксированных атак ProxyM #drweb

Banner

Nonostante in Linux.ProxyM sia implementata una sola funzione – quella di server proxy, i malintenzionati trovano nuovi modi per usarlo nelle loro attività illegali e mostrano sempre più interesse per "l'Internet degli oggetti".


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web