Sebuah botnet yang terdiri dari perangkat IoT membantu serangan hacker yang menargetkan pada aplikasi web, bertindak sebagai relay point untuk SQL Injection (SQLi), Cross-Site Scripting (XSS), dan Local File Inclusion (LFI). Diberi nama ProxyM dan dibuat menggunakan malware Linux.ProxyM.
Botnet ProxyM Aktif Sejak Februari 2017
Botnet ProxyM ini telah aktif sejak Februari 2017 dan pada satu titik di akhir Mei dan awal Juni, telah mencapai 10.000 perangkat yang terinfeksi.
Operatornya telah menargetkan perangkat IoT yang menjalankan distro Linux, dan menginfeksi perangkat yang hanya menjalankan proxy SOCKS5 sederhana.
Pada bulan Juni, para periset melihat botnet dalam lalu lintas HTTP dasar, namun pada bulan September, operator ProxyM mengubah taktik, dan botnet digunakan untuk mengirim email sebagai bagian dari kampanye spam.
Juga pada saat itu, botnet telah turun menjadi hanya 4.500 – 5.000 perangkat, tapi itu tidak masalah karena beberapa ribu perangkat lebih dari yang dibutuhkan untuk botnet yang beroperasi sebagai jaringan proxy.
Botnet ProxyM Mengubah Taktik Pada Pertengahan November
Menurut penelitian baru yang diterbitkan minggu lalu oleh Dr.Web, perusahaan yang telah melacak semua gerakan ProxyM, botnet telah pulih kembali, dan kali ini, bot digunakan sebagai relay point dalam upaya untuk mengeksploitasi situs dan server yang rentan.
Tidak jelas apakah pemilik ProxyM berada di balik serangan tersebut atau jika mereka hanya menyewa botnet, namun bot telah mengirim antara 10.000 dan 35.000 permintaan per hari, menyampaikan upaya eksploitasi untuk kerentanan SQLi, XSS, dan LFI.
Dr.Web mengatakan korban termasuk server terkait game, forum publik, dan situs web mengenai berbagai topik. Tidak ada penargetan yang spesifik, jadi tampaknya penargetannya acak.
ProxyM adalah bagian dari botnet IoT yang telah kembali hidup musim gugur ini setelah beristirahat di musim semi dan musim panas. Dua botnet lain yang sangat aktif musim gugur yang lalu ini adalah Satori (varian Mirai) dan Reaper.
