Acum câteva zile Cercetătorii de securitate au descoperit o nouă varietate de malware Linux Se pare că a fost creat de hackeri chinezi și a fost folosit ca mijloc de control de la distanță a sistemelor infectate.
Numit HiddenWasp, Acest malware constă dintr-un rootkit în modul utilizator, un troian și un script de implementare inițială.
Spre deosebire de alte programe malware care rulează pe Linux, codul și dovezile colectate arată că computerele infectate au fost deja compromise de aceiași hackeri.
Executarea HiddenWasp ar fi, prin urmare, o etapă avansată în lanțul de distrugere a acestei amenințări.
Deși articolul spune că nu știm câte computere au fost infectate sau cum au fost efectuați pașii de mai sus, trebuie remarcat faptul că majoritatea programelor de tip „Backdoor” sunt instalate făcând clic pe un obiect. (link, imagine sau fișier executabil), fără ca utilizatorul să-și dea seama că este o amenințare.
Ingineria socială, care este o formă de atac utilizată de troieni pentru a păcăli victimele să instaleze pachete software precum HiddenWasp pe computerele sau dispozitivele mobile, ar putea fi tehnica adoptată de acești atacatori pentru a-și atinge obiectivele.
În strategia sa de evadare și descurajare, kitul folosește un script bash însoțit de un fișier binar. Potrivit cercetătorilor Intezer, fișierele descărcate de la Total Virus au o cale care conține numele unei societăți criminalistice cu sediul în China.
Despre HiddenWasp
Programe malware HiddenWasp este alcătuit din trei componente periculoase, cum ar fi Rootkit, troian și un script rău intenționat.
Următoarele sisteme funcționează ca parte a amenințării.
- Manipularea sistemului de fișiere local: Motorul poate fi folosit pentru a încărca tot felul de fișiere către gazdele victimei sau pentru a deturna orice informație a utilizatorului, inclusiv informații personale și de sistem. Acest lucru este deosebit de îngrijorător, deoarece poate fi folosit pentru a conduce la infracțiuni precum furtul financiar și furtul de identitate.
- Executarea comenzii: motorul principal poate porni automat tot felul de comenzi, inclusiv cele cu permisiuni root, dacă este inclusă o astfel de ocolire de securitate.
- Livrare suplimentară de sarcină utilă: infecțiile create pot fi utilizate pentru a instala și lansa alte programe malware, inclusiv ransomware și servere de criptomonede.
- Operațiuni troiene: Programele malware HiddenWasp Linux pot fi utilizate pentru a prelua controlul computerelor afectate.
În plus, malware-ul ar fi găzduit pe serverele unei companii fizice de găzduire a serverelor numită Think Dream, situată în Hong Kong.
„Programele malware Linux încă necunoscute altor platforme ar putea crea noi provocări pentru comunitatea de securitate”, a scris cercetătorul Intezer Ignacio Sanmillan în articolul său
„Faptul că acest program rău intenționat rămâne sub radar ar trebui să fie un steag roșu pentru ca industria de securitate să dedice mai mult efort sau resurse pentru a detecta aceste amenințări”, a spus el.
Alți experți au comentat, de asemenea, această chestiune, Tom Hegel, cercetător de securitate la AT&T Alien Labs:
„Există o mulțime de necunoscute, deoarece piesele din acest set de instrumente au unele coduri / reutilizări suprapuse cu diferite instrumente open source. Cu toate acestea, pe baza unui model mare de suprapunere și proiectare a infrastructurii, pe lângă utilizarea sa în ținte, evaluăm cu încredere asocierea cu Winnti Umbrella. '
Tim Erlin, vicepreședinte, managementul produselor și strategie la Tripwire:
„HiddenWasp nu este unic în tehnologia sa, în afară de faptul că este orientat către Linux. Dacă vă monitorizați sistemele Linux pentru modificări critice ale fișierelor sau pentru a apărea fișiere noi sau pentru alte modificări suspecte, malware-ul este probabil identificat ca HiddenWasp ”
De unde știu că sistemul meu este compromis?
Pentru a verifica dacă sistemul lor este infectat, pot căuta fișiere „ld.so”. Dacă oricare dintre fișiere nu conține șirul „/etc/ld.so.preload”, sistemul dvs. poate fi compromis.
Acest lucru se datorează faptului că implantul troian va încerca să corecte instanțele ld.so pentru a aplica mecanismul LD_PRELOAD din locații arbitrare.
Fuente: https://www.intezer.com/