Paskudny nowy szczep złośliwego oprogramowania kradnie dane z urządzeń z systemem Linux

Paskudny nowy szczep złośliwego oprogramowania kradnie dane z urządzeń z systemem Linux

Odkryto nowe złośliwe oprogramowanie dla systemu Linux (otwiera się w nowej karcie), które może unikać wykrycia przez programy antywirusowe, kraść poufne dane z zaatakowanych punktów końcowych (otwiera się w nowej karcie) i infekować wszystkie procesy uruchomione na urządzeniu.

Badacze cyberbezpieczeństwa z Intezer Labs twierdzą, że złośliwe oprogramowanie (otwiera się w nowej karcie), nazwane OrBit, modyfikuje zmienną środowiskową LD_PRELOAD, umożliwiając mu przejmowanie bibliotek współdzielonych, a tym samym przechwytywanie wywołań funkcji.

„Złośliwe oprogramowanie implementuje zaawansowane techniki unikania ataków i utrwala się na maszynie, podłączając kluczowe funkcje, dając cyberprzestępcom możliwość zdalnego dostępu przez SSH, zbieranie danych uwierzytelniających i rejestrowanie poleceń TTY” — powiedziała Nicole Fishbein, badaczka z Intezer Labs.

schowany na widoku

„Po zainstalowaniu złośliwego oprogramowania zainfekuje wszystkie uruchomione procesy, w tym nowe procesy uruchomione na komputerze”.

Naukowcy powiedzieli, że do niedawna większość rozwiązań antywirusowych nie uważała droppera ani ładunku OrBit za złośliwe, ale dodali, że niektórzy dostawcy usług antymalware identyfikują teraz OrBit jako złośliwy.

„To złośliwe oprogramowanie kradnie informacje z różnych poleceń i narzędzi oraz przechowuje je w określonych plikach na komputerze. Ponadto istnieje szerokie wykorzystanie plików do przechowywania danych, czego nigdy wcześniej nie widziano” – powiedział Fishbein.

„Tym, co sprawia, że ​​to złośliwe oprogramowanie jest szczególnie interesujące, jest niemal hermetyczne wiązanie bibliotek z maszyną ofiary, dzięki czemu złośliwe oprogramowanie zyskuje trwałość i unika wykrycia podczas kradzieży informacji i konfigurowania backdoora SSH”.

Jak dowiedział się BleepingComputer, cyberprzestępcy byli ostatnio bardzo aktywni na platformie Linux. Oprócz OrBit niedawno odkryte złośliwe oprogramowanie Symbiote wykorzystuje również dyrektywę LD_PRELOAD do ładowania uruchomionych procesów. Działa jak ogólnosystemowy pasożyt, twierdzi post, dodając, że nie pozostawia śladów infekcji.

BPFDoor jest również podobnym szczepem złośliwego oprogramowania. Jego celem są systemy Linux i ukrywa się za pomocą nazw popularnych demonów Linuksa. Pomogło to pozostać pod radarem antywirusowym przez pięć lat.

Oprócz tych dwóch, istnieje również Syslogk, który może ładować i ukrywać złośliwe oprogramowanie. Jak ujawnili badacze cyberbezpieczeństwa firmy Avast, szkodliwe oprogramowanie typu rootkit jest oparte na starym rootkicie typu open source o nazwie Adore-Ng. Znajduje się również na stosunkowo wczesnym etapie rozwoju (aktywny), więc dopiero okaże się, czy stanie się pełnoprawnym zagrożeniem.

Przez: BleepingComputer (Otwiera się w nowej karcie)