Wykryto nowe złośliwe oprogramowanie dla systemu Linux (otwiera się w nowej karcie), które może uniknąć wykrycia przez programy antywirusowe, wykraść wrażliwe dane z zaatakowanych punktów końcowych (otwiera się w nowej karcie) i infekować wszystkie uruchomione procesy na urządzeniu.
Badacze cyberbezpieczeństwa z Intezer Labs twierdzą, że złośliwe oprogramowanie (otwiera się w nowej karcie), nazwane OrBit, modyfikuje zmienną środowiskową LD_PRELOAD, umożliwiając mu przejmowanie bibliotek współdzielonych, a tym samym przechwytywanie wywołań funkcji.
„Złośliwe oprogramowanie wdraża zaawansowane techniki unikania i zyskuje trwałość na maszynie, łącząc kluczowe funkcje, dając cyberprzestępcom możliwość zdalnego dostępu przez SSH, zbierając dane uwierzytelniające i rejestrując polecenia TTY” – wyjaśniła Nicole Fishbein, badacz z Intezer Labs.
schowany na widoku
„Po zainstalowaniu złośliwego oprogramowania infekuje wszystkie uruchomione procesy, w tym nowe procesy, które działają na komputerze”.
Do niedawna większość rozwiązań antywirusowych nie uważała droppera lub ładunku OrBit za złośliwe, stwierdzili naukowcy, ale dodali, że niektórzy dostawcy usług antymalware identyfikują teraz OrBit jako złośliwy.
„To złośliwe oprogramowanie kradnie informacje z różnych poleceń i narzędzi i przechowuje je w określonych plikach na komputerze. Ponadto pliki do przechowywania danych są szeroko wykorzystywane, czego nigdy wcześniej nie widziano” — powiedział Fishbein.
„To, co sprawia, że to złośliwe oprogramowanie jest szczególnie interesujące, to prawie ścisłe powiązanie bibliotek z zaatakowaną maszyną, co pozwala złośliwemu oprogramowaniu uzyskać trwałość i uniknąć wykrycia podczas kradzieży informacji i konfigurowania backdoora SSH”.
BleepingComputer odkrył, że w ostatnim czasie bardzo aktywni są cyberprzestępcy na platformie Linux. Oprócz OrBit niedawno odkryte szkodliwe oprogramowanie Symbiote wykorzystuje również dyrektywę LD_PRELOAD do ładowania uruchomionych procesów. Działa jak pasożyt ogólnosystemowy, twierdzi post, dodając, że nie pozostawia śladów infekcji.
BPFDoor to również podobna odmiana złośliwego oprogramowania. Jest przeznaczony dla systemów Linux i ukrywa się pod nazwami popularnych demonów Linuksa. Pomogło to utrzymać go pod radarem antywirusowym przez pięć lat.
Oprócz tych dwóch istnieje również Syslogk, który jest w stanie przesyłać i ukrywać złośliwe oprogramowanie. Jak ujawnili badacze cyberbezpieczeństwa Avast, złośliwe oprogramowanie typu rootkit jest oparte na starym rootkicie o otwartym kodzie źródłowym o nazwie Adore-Ng. Jest również na stosunkowo wczesnym etapie rozwoju (aktywny), więc czy stanie się pełnoprawnym zagrożeniem, dopiero się okaże.
Przez: BleepingComputer (Otwiera się w nowej karcie)
