Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Ботнет Gwmndy превращает маршрутизаторы Fiberhome в узлы для SSH туннелирования. (http://txgate.io:443/showthread.php?t=17773)

Artifact 05-15-2025 05:41 PM

http://image.prntscr.com/image/W2mLQ...vVL63nUkhg.png
Зачем операторам ботнета понадобилось превращать маршрутизаторы в узлы для SSH туннелирования, не понятно.
Специалисты из 360 Netlab https://blog.netlab.360.com/some-fib...proxy-nodes-2/ новый, весьма необычный ботнет из маршрутизаторов Fiberhome. Ботнет растет довольно медленно – за один день в него добавляется всего 200 устройств.
«В отличие от типичных ботнетов, старающихся заразить как можно больше жертв, этот прекращает поиски новых ботов, набрав 200 за день. Похоже, его создателя устраивает такое количество, вероятно, предоставляющее ему достаточно прокси для чего бы то ни было», – сообщили исследователи.
Вторая отличительная особенность ботнета – его предназначение. В отличие от большинства ботнетов, он не используется ни для DDoS-атак, ни для криптоджекинга, ни для рассылки спама, ни для похищения информации. Единственная цель ботнета – изменить настройки маршрутизатора таким образом, чтобы превратить его в прокси-узел для SSH туннелирования. Зачем это нужно его операторам, не понятно.
Для заражения маршрутизаторов злоумышленники используют ранее не известное ПО Gwmndy. Инфицирование происходит с помощью исполняемого файла в формате ELF, который попадает на устройство одним из множества стандартных способов.
«Мы не увидели, как Gwmndy распространяется, но знаем, что в некоторых маршрутизаторах Fiberhome используют очень ненадежные пароли и присутствуют уязвимости», – пояснили исследователи.
Попав на устройство, вредонос устанавливает бэкдор, а также создает SSH туннель для динамической переадресации портов и локальный сервис SOCKS5. Как отмечают исследователи, вредоносное ПО, выступающее в качестве прокси, – случай весьма редкий. Одни вредоносные программы используют прокси или TOR для подключения к своим C&C-серверам, другие и вовсе передают данные в открытом виде без прокси. Однако вредонос, который является прокси сам по себе и может использоваться другими программами, загружаемыми вместе с ним, заслуживает пристального внимания, уверены эксперты.

Jekaprof 05-15-2025 05:58 PM

ну просто автоматизация давно известного всем способа добычи ssh а вот сам код это уже интерестно если его нет в паблике значит , чел худажник))


All times are GMT. The time now is 11:17 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.