360 Netlab eksperter har oppdaget En ny, svært uvanlig botnet Gwmndy som angriper Fiberhome rutere.
Than botnet vokser ganske sakte – på bare én dag, bare 200 enheter legges til i det.“I motsetning til typiske botnets som prøver å infisere så mange ofre som mulig, dette en stopper søker etter nye roboter, få 200 per dag. Det virker som han skaper er fornøyd med en slik mengde, sannsynligvis gi ham nok fullmakter for hva”, - forskerne sa.
Den andre kjennetegn ved botnet er dens formål. I motsetning til de fleste botnets, det er ikke brukt verken for DDoS-angrep, heller ikke for krypto jacking, heller ikke for spamming, heller ikke for å stjele informasjon.
Botnet eneste formål er å endre ruterens innstillinger slik at det blir en proxy-vert for SSH tunneling. Hvorfor dets operatører trenger dette er ikke klart.
Å infisere rutere, angripere bruker tidligere ukjent Gwmndy programvare. Smitte skjer ved hjelp av en kjørbar fil i ELF-format, som får til enheten i en av mange vanlige måter.
“Vi fikk ikke se hvordan Gwmndy sprer, men vi vet at noen Fiberhome rutere bruker svært svake passord, og har i overflod sårbarheter”, - forskerne forklart.
Gang på enheten, malware installerer en bakdør, og også skaper en SSH tunnel for dynamisk portkobling og en lokal tjeneste SOCKS5. Ifølge forskerne, malware fungerer som en proxy er et sjeldent tilfelle.
Les også: Den nye versjonen av banktrojaneren TrickBot “kick off” Windows Defender
Noen ondsinnede programmer bruker en proxy eller TOR til å koble til C&C-servere, mens andre overfører data i klartekst uten en proxy. derimot, malware, som er en proxy i seg selv og kan brukes av andre programmer lastet ned med det, fortjener oppmerksomhet, insisterer eksperter.
360 Netlab Professional Tips
Vi anbefaler spesielt hjemme bredbånd brukere å oppdatere Fiberhome ruterprogramvaren system på en vanlig måte, og sette opp komplekse påloggingsinformasjon for ruteren Web.
