360 Netlab eksperter har opdaget En ny, meget usædvanligt botnet Gwmndy at angribe FiberHome routere.
Than botnettet vokser ganske langsomt – på blot én dag, kun 200 enheder føjes til det.”I modsætning til typiske botnet, der forsøger at inficere så mange ofre som muligt, denne ene stopper søger efter nye robotter, vinder 200 per dag. Det ser ud til, at hans skaberen er tilfreds med en sådan mængde, sandsynligvis give ham med nok fuldmagter til hvad”, - siger forskerne.
Den anden særkende botnettet er dens formål. I modsætning til de fleste botnets, den er ikke brugt hverken for DDoS-angreb, eller for krypto jacking, eller for spam, heller ikke for at stjæle oplysninger.
Den botnet eneste formål er at ændre routerens indstillinger, så det bliver til en proxy vært for SSH tunneling. Hvorfor dets operatører har brug for dette er ikke klart.
For at inficere routere, angribere bruger hidtil ukendt Gwmndy software. Infektion sker ved hjælp af en eksekverbar fil i ELF-format, som får til enheden i en af mange standard måder.
”Vi kunne ikke se, hvordan Gwmndy spreads, men vi ved, at nogle FiberHome routere bruger meget svage passwords og har i overflod sårbarheder”, - forskerne forklarede.
Når på enheden, malware installerer en bagdør, og skaber også en SSH tunnel til dynamisk port forwarding og en lokal SOCKS5- tjeneste. Ifølge forskerne, malware, der fungerer som en proxy er et sjældent tilfælde.
Læs også: Den nye version af bank trojanske TrickBot ”skydes i gang” Windows Defender
Nogle ondsindede programmer bruger en proxy eller TOR til at oprette forbindelse til deres C&C servere, mens andre transmittere data i klar tekst uden en proxy. imidlertid, Malware, der er en proxy i sig selv og kan bruges af andre programmer hentet med det, fortjener stor opmærksomhed, insistere eksperter.
360 Netlab Professional Tips
Vi anbefaler især hjemme bredbåndsbrugere at opdatere FiberHome router software system på en regelmæssig måde, og oprette komplekse loginoplysninger til routeren Web.
