Новый линукс (откроется в новой вкладке) обнаружено вредоносное ПО, способное избежать обнаружения антивирусными программами, похищающее конфиденциальные данные со скомпрометированных конечных точек (откроется в новой вкладке) и заражает все процессы, запущенные на устройстве.
Исследователи кибербезопасности из Intezer Labs говорят, что вредоносное ПО (откроется в новой вкладке)получивший название OrBit, изменяет переменную среды LD_PRELOAD, позволяя ей захватывать общие библиотеки и, следовательно, перехватывать вызовы функций.
«Вредоносное ПО реализует передовые методы уклонения и сохраняется на компьютере, перехватывая ключевые функции, предоставляет злоумышленникам возможности удаленного доступа через SSH, собирает учетные данные и регистрирует команды TTY», — пояснила исследователь Intezer Labs Николь Фишбейн.
Скрытие на виду
«После того как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Исследователи заявили, что до недавнего времени большинство антивирусных решений не рассматривали дроппер или полезную нагрузку OrBit как вредоносные, но добавили, что теперь некоторые поставщики услуг по защите от вредоносных программ действительно идентифицируют OrBit как вредоносный.
«Эта вредоносная программа крадет информацию из различных команд и утилит и сохраняет ее в определенных файлах на машине. Кроме того, для хранения данных широко используются файлы, чего раньше не было», — заключил Фишбейн.
«Что делает это вредоносное ПО особенно интересным, так это почти герметичное подключение библиотек к машине-жертве, что позволяет вредоносному ПО сохранять устойчивость и избегать обнаружения при краже информации и установке бэкдора SSH».
По данным BleepingComputer, в последнее время злоумышленники проявляют большую активность на платформе Linux. Помимо OrBit, недавно обнаруженная вредоносная программа Symbiote также использует директиву LD_PRELOAD для загрузки себя в запущенные процессы. Он действует как общесистемный паразит, утверждает издание, добавляя, что не оставляет следов инфекции.
BPFDoor также является похожим штаммом вредоносного ПО. Он нацелен на системы Linux и прячется, используя имена распространенных демонов Linux. Это помогло ему оставаться под защитой антивирусных радаров в течение пяти лет.
Помимо этих двух, есть еще Syslogk, способный как загружать, так и скрывать вредоносные программы. Как выяснили исследователи кибербезопасности из Avast, вредоносное ПО руткита основано на старом рутките с открытым исходным кодом под названием Adore-Ng. Он также находится на относительно ранней стадии (активной) разработки, поэтому еще неизвестно, превратится ли он в полномасштабную угрозу.