Эксперты «Доктор Веб» сообщают о появлении новой троянской программы для Linux, способной осуществлять кибератаки на сайты, управляемые различными CMS, а также проводить DDoS-атаки, организовывать рассылку электронных писем и распространяться в сети самостоятельно.
В троянской программе Linux.Rex.1 реализован протокол, который позволяет производить обмен информацией с другими инфицированными узлами и создавать децентрализованный P2P-ботнет, при этом зараженный компьютер будет являться одним из сетевых узлов.
Linux.Rex.1 получает команды от прочих инфицированных компьютеров через протокол HTTPS и отправляет их другим узлам сети, если в этом есть необходимость. Злоумышленники могут дать троянской программе команду начать или прекратить атаку на узел с определенным IP-адресом. В Linux.Rex.1 есть модуль, с помощью которого проходит процесс поиска сайтов, находящихся под управлением Drupal, JetSpeed, Magento и WordPress. Кроме того, интерес для создателей Linux.Rex.1 представляет сетевое оборудование с установленной на нем операционной системой AirOS. Троянская программа использует уязвимости в этой продукции для того, чтобы получать списки пользователей, закрытые SSH-ключи, а также логины и пароли, которые хранятся на закрытых узлах.
Кроме того, функционал вредоносной программы подразумевает возможность рассылки электронных писем. Используя подобные письма, киберпреступники требуют у владельцев сайтов выкуп, угрожая проведением DDoS-атаки.
Троянская программа использует уязвимость в Drupal для того, чтобы взламывать ресурсы, управляемые этой CMS. Linux.Rex.1 пытается авторизоваться в системе с помощью SQL-инъекции. Если программе это удается, то она осуществляет загрузку собственной копии на взломанный сайт и ее запуск.