È stato scoperto un nuovo malware Linux (Si apre in una nuova scheda) in grado di eludere il rilevamento da parte di programmi antivirus, rubare dati sensibili da endpoint compromessi (Si apre in una nuova scheda) e infettare tutti i processi in esecuzione in un dispositivo.
I ricercatori di cybersecurity di Intezer Labs affermano che il malware (si apre in una nuova scheda), denominato OrBit, modifica la variabile di ambiente LD_PRELOAD, consentendogli di dirottare le librerie condivise e quindi di intercettare le chiamate di funzione.
"Il malware implementa tecniche di evasione avanzate e guadagna persistenza sulla macchina collegando funzionalità chiave, fornendo agli attori delle minacce funzionalità di accesso remoto tramite SSH, raccogliendo credenziali e registrando comandi TTY", ha affermato Nicole Fishbein, ricercatrice presso Intezer Labs. .
Nascosto in bella vista
"Una volta installato, il malware infetterà tutti i processi in esecuzione, inclusi i nuovi processi, in esecuzione sulla macchina."
Fino a poco tempo, la maggior parte delle soluzioni antivirus non considerava il contagocce o il carico utile di OrBit dannosi, hanno affermato i ricercatori, ma hanno aggiunto che alcuni fornitori di servizi antimalware ora identificano OrBit come dannoso.
“Questo malware ruba informazioni da diversi comandi e utilità e le archivia in file specifici sulla macchina. Inoltre, c'è un ampio uso di file per archiviare i dati, qualcosa che non è mai stato visto prima", ha affermato Fishbein.
"Ciò che rende questo malware particolarmente interessante è il collegamento quasi ermetico delle librerie alla macchina della vittima, che consente al malware di acquisire persistenza ed eludere il rilevamento mentre ruba informazioni e imposta un SSH backdoor".
Gli attori delle minacce sono stati molto attivi sulla piattaforma Linux ultimamente, ha scoperto BleepingComputer. Oltre a OrBit, il malware Symbiote scoperto di recente utilizza anche la direttiva LD_PRELOAD per caricare i processi in esecuzione. Agisce come un parassita a livello di sistema, afferma il post, aggiungendo che non lascia segni di infezione.
BPFDoor è anche un ceppo di malware simile. Prende di mira i sistemi Linux e si nasconde usando i nomi dei comuni demoni Linux. Ciò ha contribuito a mantenerlo sotto il radar antivirus per cinque anni.
Oltre a questi due, c'è anche Syslogk, che è in grado di caricare e nascondere malware. Come rivelato dai ricercatori di sicurezza informatica Avast, il malware rootkit si basa su un vecchio rootkit open source chiamato Adore-Ng. È anche in una fase di sviluppo relativamente precoce (attiva), quindi resta da vedere se diventi o meno una minaccia a tutti gli effetti.
Via: BleepingComputer (si apre in una nuova scheda)