Experții companiei japoneze Trend Micro, specializată în probleme de securitate cibernetică, au descoperit programul rău intenționat SprySOCKS, care este folosit pentru a ataca mașinile care rulează familia de sisteme Linux.
Noul malware vine de la ușa din spate Windows Trochilus, descoperit 2015 de către cercetătorii de la compania Arbor Networks, este lansat și executat doar în memorie, iar sarcina sa utilă nu este stocată pe discuri, ceea ce complică semnificativ detectarea. În iunie a acestui an, cercetătorii Trend Micro au descoperit un fișier numit „libmonitor.so.2” pe un server folosit de un grup a cărui activitate o monitorizase din 2021. În baza de date VirusTotal, au descoperit fișierul executabil asociat „mkmon”, care a ajutat la decriptarea „libmonitor.so.2” și la dezvăluirea sarcinii sale utile.
S-a dovedit că acesta este un program rău intenționat complex pentru Linux, a cărui funcționalitate coincide parțial cu capacitățile lui Trochilus și are o implementare originală a protocolului Socket Secure (SOCKS), astfel încât malware-ul a primit numele SprySOCKS. Vă permite să colectați informații despre sistem, să lansați o interfață de comandă de gestionare la distanță (shell), să formați o listă de conexiuni de rețea, să implementați un server proxy bazat pe protocolul SOCKS pentru a face schimb de date între sistemul compromis și serverul de comandă al atacatorului și efectua alte operatii. Specificarea versiunilor de malware sugerează că acesta este încă în curs de dezvoltare.
Cercetătorii sugerează că SprySOCKS este folosit de hackeri din grupul Earth Lusca - a fost descoperit pentru prima dată în 2021 și a apărut pe lista infractorilor cibernetici un an mai târziu. Grupul folosește metode de inginerie socială pentru a infecta sistemele. SprySOCKS instalează pachetele Cobalt Strike și Winnti ca încărcături utile. Primul este un kit pentru găsirea și exploatarea vulnerabilităților; al doilea, care are mai mult de zece ani, contactează autoritățile chineze. Există o versiune conform căreia grupul Earth Lusca, care lucrează în principal cu ținte asiatice, își propune să deturneze fonduri, deoarece victimele sale sunt adesea companii implicate în jocuri de noroc și criptomonede.
Citeste si:
- Microsoft a fost acuzat de „neglijarea flagrantă” a securității cibernetice
- Hackerii au dezactivat unul dintre cele mai moderne observatoare astronomice