Новый неприятный штамм вредоносного ПО крадет данные с устройств Linux

Новый неприятный штамм вредоносного ПО крадет данные с устройств Linux

9 июля 2022 г.

Обнаружено новое вредоносное ПО Linux, способное избежать обнаружения антивирусными программами. , похищает конфиденциальные данные со взломанных конечных точек и заражает все процессы, запущенные на устройстве. .

Исследователи кибербезопасности из Intezer Labs говорят, что вредоносное ПО, получивший название OrBit, модифицирует переменную окружения LD_PRELOAD, позволяя ему захватывать разделяемые библиотеки и, следовательно, перехватывать вызовы функций.

«Вредоносное ПО реализует передовые методы обхода и сохраняется на компьютере, перехватывая ключевые функции, предоставляет злоумышленникам возможности удаленного доступа через SSH, собирает учетные данные и регистрирует команды TTY», — исследователь Intezer Labs Николь Фишбейн. объяснил.

Прятаться на виду

"После того как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на компьютере".

До недавнего времени большинство антивирусных решений не лечили дроппер OrBit. , или полезная нагрузка, как вредоносная, заявили исследователи, но добавили, что теперь некоторые поставщики услуг по защите от вредоносных программ идентифицируют OrBit как вредоносный.

«Эта вредоносная программа крадет информацию из различных команд и утилит и сохраняет ее в определенных файлах на машине. Кроме того, файлы для хранения данных широко используются, чего раньше не было», — заключил Фишбейн. .

"Что делает это вредоносное ПО особенно интересным, так это почти герметичное подключение библиотек к машине-жертве, что позволяет вредоносному ПО сохранять устойчивость и избегать обнаружения при краже информации и установке бэкдора SSH."

По данным BleepingComputer, в последнее время злоумышленники проявляют большую активность на платформе Linux. Помимо OrBit, недавно обнаруженная вредоносная программа Symbiote также использует директиву LD_PRELOAD для загрузки себя в запущенные процессы. В публикации утверждается, что он действует как общесистемный паразит, добавляя, что не оставляет признаков заражения.

BPFDoor также является похожим штаммом вредоносного ПО. Он нацелен на системы Linux и прячется, используя имена распространенных демонов Linux. Это помогло ему оставаться под защитой антивирусных радаров в течение пяти лет.

Кроме этих двух, есть еще Syslogk, способный как загружать, так и скрывать вредоносные программы. Как выяснили исследователи кибербезопасности из Avast, вредоносное ПО руткита основано на старом рутките с открытым исходным кодом под названием Adore-Ng. Он также находится на относительно ранней стадии (активной) разработки, поэтому еще неизвестно, превратится ли он в полноценную угрозу.

PREVIOUS ARTICLE
NEXT ARTICLE