Специалисти по информационна сигурност съобщиха, че един от най-старите ботнети и свързаната с него зловредна програма за получили неочаквано обновление.

Stantinko е един от най-старите все още действащи ботнети, който организира инфектирани машини, в настоящия случай – на основата на Линукс, в свързани мрежи, които на свой ред заразяват допълнителен брой машини. Троянският кон, свързан със Stantinko е получил нова версия, която прикрива зловредната програма като процес, свързан с уебсървърния софтуер на Apache, алармират тази седмица от Intezer Labs.

Stantinko се появява през 2012, когато специалисти засичат разпространението му, което идва пакетиран в пакети от приложения и пиратски софтуер. По това време, целите на Stantinko са единствено Windows потребители, като се използва за показването на нежелана реклама и криптоминьори. С развитие на годините и по-големите печалби на създателите му, неговият код бива допълнителни развит, като пред три години ESET откриват негови версии, насочени специално към Линукс инсталации. Тази му версия действа като SOCK5 прокси, с което Stantinko превръща Линукс системата в част от по-голяма прокси мрежа.

Тези машини биват използвани впоследствие за организирани на мащабни brute-force атаки, целящи кражбата на записи за висване в различни услуги. Веднъж установили си достъп до целите си, хакерите повишават правата си в администриращата мишената сървърна операционна система, а след това се репликира или инсталира криптоминьор за целите на нанасяне на повече щети и печалба.

Новата версия на Stantinko има далеч по-малко код от свои предишни обновления, което според специалистите служи да направи зловредната програма по-трудна за засичане, като прокси и brute-force функционалностите му са запазени. Към момента на излизане на доклада, новата версия на Stantinko има изключително малко засичания във Virus Total, откритата платформа на Google за мултиантивирусно сканиране на код.

Друга важна промяна на тази нова версия е, че процесът на стартираната зловредна програма вече се анонсира пред системата като httpd, абревиатура, която най-често се свързва с известния уебсървър Apache.

Както подчертават и от ZDNet, успеха на Stantinko в тези случаи на погрешно конфигурирани сървърни системи и такива без или със слаби пароли.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари