Ботнет OMG превращает зараженные IoT-устройства в прокси-серверы

Исследователи компании Fortinet обнаружили новую модификацию зловреда Mirai, способную настраивать прокси-сервер на уязвимых устройствах IoT. Новый вариант вредоносного ПО получил название OMG из-за строк кода, содержащих «OOMGA». Он поддерживает большинство возможностей Mirai, но также обладает своими собственными функциями.

В отличие от Mirai, конфигурация варианта OMG включает две строки, используемые для добавления правила брандмауэра, которое разрешает трафик на двух случайных портах. При этом, новый вариант вредоносного ПО сохраняет и оригинальные модули Mirai, позволяющие сканировать сеть Интернет в поисках уязвимых для подбора пароля и взлома IoT-устройств, доступных через telnet, и осуществлять DDoS-атаки.

Однако главной особенностью OMG является функция прокси-сервера. В качестве своего прокси-сервера OMG использует ПО с открытым исходным кодом 3proxy. Во время установки зловред генерирует два случайных HTTP и SOCKS-порта, сообщает их серверу управления (C & C) и добавляет правило брандмауэра, чтобы разрешить трафик на этих портах. После включения правила брандмауэра вредоносное ПО устанавливает 3proxy с предопределенной конфигурацией, встроенной в его код.

По мнению исследователей, киберпреступники используют прокси-сервер для того, чтобы обеспечить анонимность при осуществлении взлома устройств и других вредоносных действиях. Кроме того, прокси-серверы могут быть использованы и для получения денег за счет продажи доступа к ним другим киберпреступникам.

Источник: Fortinet