В Интернет се появи нов малуер за машини с Линукс

5
35


Тези дни се появи неприятната новина за нов малуер, който е насочен към машини с операционна система Linux. Първа за това съобщава Лимор Кесем (Limor Kessem) от компанията за информационна защита и изследвания в областта на компютърната безопасност RSA.

Макар и в твърде ранна фаза от развитието си, троянската програма Hand of Thief вече се предлага в затворени форуми на цени от $2000 с включени безплатни обновления към нея, което говори за това, че програмата ще търпи развитие. Засега програмата включва кражбата на информация от уеб-форми (form-grabbing) и бекдор възможности, но се очаква програмата да разшири своя капацитет за в бъдеще значително, за да може да се превърне в пълноправен член на армията от банкови троянци.

„Въпреки че Hand of Thief идва в киберпрестъпното пространство във време, в което има недостиг от надеждни програми от този тип, писането на зловредна програма за Линукс е нещо доста нехарактерно. В сравнение с Windows, потребителската база на Линукс е сравнително малка, което в значителна степен намалява потенциалните жертви и в този смисъл и приходите от кражбата. На второ място, взимайки предвид факта, че Линукс е система с отворен код, уязвимостите биват запушвани сравнително бързо от потребителската общност“, заявява Кесем. Но в същото време, според нея, това би могло и да обясни сравнително високата му цена – слабата база от налични банкови троянци за свободната система.

Не е за подценяване факта, че почти няма пакети за експлоатиране на уязвимости в Линукс. Това, което е притиснителното в разсъжденията на Кесем е, че имайки предвид все по-честите съвети на специалисти към потребителите да изоставят предполагаемо несигурната операционна система на Microsoft за по-сигурните Линукс дистрибуции, би могло да бъде отчетено, като знак, че за в бъдеще Линукс може да се окаже несигурна система, имайки предвид, че киберпрестъпниците следват потребителите. Дано не е права.

Друг притеснителен факт, който е забелязала Кесем е това, че екипът зад Hand of Thief изглежда сериозен в намеренията си, като в кампанията по неговата продажба има включени освен „дистрибутори“ или „търговски агенти“ и софтуерни разработчици. От това, което е успяла да научи Кесем, зловредната програма е била тествана на 15 дистрибуции, в това число Ubuntu, Fedora и Debian. Що се отнася до десктоп средите, то троянецът е имал успех при осем различни среди, като тук се включват Gnome и Kde.

Специалистите от RSA са успели да се сдобият с билдъра на програмата и сорс кода изпълняван на ниво сървър. Това, което засега са видели е, че малуерът се справя успешно с прихващането на данни, както от HTTP, така и от HTTPS сесии, а сред изпробваните браузъри са били Firefox, Google Chrome и няколко браузъри предназначени само за ползване от платформи с Линукс, като Chromium, Aurora и Ice Weasel. Освен това тук присъствал и списък, който попречвал за свързването на машината до някои хостове – като доставчици на пакети с обновления и антивирусни разработчици, а така също тук има и инструменти насочени срещу анализ, в това число анти-сендбокс, анти-дебъгър и анти-виртуална среда.

Една допълнителна, но важна характеристика тук е включването на администраторски панел за контрол на програмата и инфектираните машини, което да улесни управляващият ботнет мрежата. След събирането на данните, те биват съхранявани в MySQL база, като тук се включва разнородна по вид информация, като данни за посещението на сайтовете, времеви отпечатък, и данни от POST-а. Освен всичко друго, Hand of Thief успява да краде и бисквитки.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
5 Коментара
стари
нови оценка
Отзиви
Всички коментари