به تازگی یک بدافزار جدید مخصوص لینوکس کشف شده که میتواند از دید برنامههای آنتی ویروس پنهان بماند، دادههای حساس را برباید و همه فرآیندهای در حال اجرا روی دستگاه را آلوده کند.
محققان امنیت سایبری شرکت Intezer Labs میگویند این بدافزار، با نام OrBit، متغیر محیطی LD_PRELOAD را تغییر میدهد و به آن اجازه میدهد کتابخانههای مشترک را ربوده و در نتیجه، فراخوانیهای تابع را رهگیری کند.
در توضیح عملکرد این بدافزار، نیکول فیشبین محقق آزمایشگاه Intezer گفت: این بدافزار تکنیکهای پیشرفته گریز را پیادهسازی میکند و با اتصال عملکردهای کلیدی روی دستگاه، قابلیتهای دسترسی از راه دور بر روی SSH را برای عوامل تهدید فراهم میکند، همچنین اعتبارنامهها را جمعآوری میکند و دستورات TTY را ثبت میکند. هنگامی که بدافزار نصب شد، تمام فرآیندهای در حال اجرا، از جمله فرآیندهای جدید، آلوده میشوند.
محققان گفتند تا همین اواخر، اکثر آنتی ویروسها OrBit dropper یا payload را به عنوان مخرب تلقی نمیکردند، اما اکنون، برخی از ارائه دهندگان خدمات ضد بدافزار، OrBit را به عنوان مخرب شناسایی میکنند.
چیزی که کارکرد این بدافزار را جالب میکند این است که در حین سرقت اطلاعات پایداری دارد و از شناسایی شدن فرار کند.
BleepingComputer دریافته است که هکرها اخیراً در پلتفرم لینوکس کاملاً فعال بوده اند، چون علاوه بر OrBit، بدافزار Symbiote نیز که اخیراً کشف شده، از دستورالعمل LD_PRELOAD برای بارگیری خود در فرآیندهای در حال اجرا استفاده میکند.
بیشتر بخوانید