มีการค้นพบมัลแวร์ Linux ตัวใหม่ (เปิดในแท็บใหม่) ที่สามารถหลบเลี่ยงการตรวจจับโดยโปรแกรมป้องกันไวรัส ขโมยข้อมูลที่ละเอียดอ่อนจากปลายทางที่ถูกบุกรุก (เปิดในแท็บใหม่) และทำให้กระบวนการทำงานอยู่ในอุปกรณ์ติดเชื้อ
นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Intezer Labs อ้างว่ามัลแวร์ (เปิดในแท็บใหม่) ชื่อ OrBit แก้ไขตัวแปรสภาพแวดล้อม LD_PRELOAD ทำให้สามารถจี้ไลบรารีที่ใช้ร่วมกันและสกัดกั้นการเรียกใช้ฟังก์ชันได้
"มัลแวร์ใช้เทคนิคการหลบเลี่ยงขั้นสูงและเพิ่มความคงอยู่ให้กับเครื่องโดยการเสียบคุณสมบัติหลัก ทำให้ผู้คุกคามสามารถเข้าถึงระยะไกลผ่าน SSH รวบรวมข้อมูลประจำตัว และบันทึกคำสั่ง TTY" Nicole Fishbein นักวิจัยจาก Intezer Labs กล่าว
ซ่อนอยู่ในสายตาธรรมดา
"เมื่อติดตั้งมัลแวร์แล้ว มันจะแพร่ระบาดไปยังกระบวนการที่กำลังทำงานอยู่ทั้งหมด รวมถึงกระบวนการใหม่ๆ ที่ทำงานบนเครื่องด้วย"
นักวิจัยกล่าวว่า ก่อนหน้านี้ โซลูชั่นแอนตี้ไวรัสส่วนใหญ่ไม่ได้ถือว่า OrBit dropper หรือ payload เป็นอันตราย แต่พวกเขาเสริมว่าผู้ให้บริการป้องกันมัลแวร์บางรายระบุ OrBit ว่าเป็นอันตราย
“มัลแวร์นี้ขโมยข้อมูลจากคำสั่งและยูทิลิตี้ต่างๆ และเก็บไว้ในไฟล์เฉพาะบนเครื่อง นอกจากนี้ยังมีการใช้ไฟล์อย่างกว้างขวางเพื่อจัดเก็บข้อมูล ซึ่งเป็นสิ่งที่ไม่เคยเห็นมาก่อน” Fishbein กล่าว
"สิ่งที่ทำให้มัลแวร์ตัวนี้น่าสนใจเป็นพิเศษคือการผูกไลบรารีเข้ากับเครื่องของเหยื่อจนเกือบปิดสนิท ทำให้มัลแวร์สามารถคงอยู่และหลบเลี่ยงการตรวจจับในขณะที่ขโมยข้อมูลและตั้งค่า SSH แบบแบ็คดอร์"
BleepingComputer ค้นพบว่าผู้คุกคามมีบทบาทอย่างมากบนแพลตฟอร์ม Linux นอกจาก OrBit แล้ว มัลแวร์ Symbiote ที่เพิ่งค้นพบยังใช้คำสั่ง LD_PRELOAD เพื่อโหลดกระบวนการที่ทำงานอยู่ มันทำหน้าที่เหมือนปรสิตทั่วทั้งระบบ โพสต์อ้างว่าไม่ทิ้งร่องรอยของการติดเชื้อ
BPFDoor ยังเป็นมัลแวร์ที่คล้ายคลึงกัน มันกำหนดเป้าหมายระบบ Linux และซ่อนตัวเองโดยใช้ชื่อของ Linux daemons ทั่วไป สิ่งนี้ช่วยให้อยู่ภายใต้เรดาร์ป้องกันไวรัสเป็นเวลาห้าปี
นอกจากสองสิ่งนี้แล้ว ยังมี Syslogk ซึ่งสามารถอัพโหลดและซ่อนมัลแวร์ได้ ตามที่เปิดเผยโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Avast มัลแวร์รูทคิตนั้นใช้รูทคิตโอเพ่นซอร์สแบบเก่าที่เรียกว่า Adore-Ng นอกจากนี้ยังอยู่ในช่วงเริ่มต้นของการพัฒนา (ใช้งานอยู่) ดังนั้นไม่ว่ามันจะเป็นภัยคุกคามที่เต็มเปี่ยมหรือไม่ก็ตาม
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)