Появившийся более года назад троян под Linux в очередной раз нацелен на маршрутизаторы и пытается установить бэкдоры. Linux.PNScan, вредонос, подробно изученный в прошлом году, атаковал устройства с архитектурами ARM, MIPS и PowerPC.
Теперь исследователи в области безопасности из Malware Must Die! , что этот ELF-червь поражает системы x86 Linux. В прошлом году исследователи Doctor Web предположили, что троян устанавливался на маршрутизаторы, используя уязвимость ShellShock. Троян перебирает пароли брутфорсом и устанавливает на маршрутизаторы скрипт, который загружает бэкдор.
Вредонос, которого исследовали эксперты Malware Must Die! является вариацией оригинального трояна Linux.PNScan.1 и называется Linux.PNScan.2. В отличие от Linux.PNScan.1, который пытается взломать комбинации логина с помощью специального словаря, Linux.PNScan.2 нацелен на конкретные IP-адреса и пытается подключиться к ним через SSH , используя одну из следующих комбинаций: root,root; admin,admin; или ubnt,ubnt.
В процессе анализа исследователи Malware Must Die! обнаружили, что троян был сделан с использованием Toolchains и имеет совместимость с GCC(GNU) 4.1.x. Исследователи также обнаружили, что авторы вредоноса используют кросс параметр компилятора для i686 и включенную конфигурацию SSL.
После того, как зловред попал на устройство, он делится на 4 процесса (в дополнение к основному), создавая файлы на устройстве, прослушивая 2 TCP-порта. Червь также способен брутфорсить логины.
Отправляя запросы на twitter.com, Linux.PNScan может скрыть свой вредоносный трафик и мешают анализу. Сформированный вредоносный трафик невозможно отличить от легитимного.
По словам исследователей, вредонос активен уже в течение последних шести месяцев. Исследователи предполагают, что злоумышленники могут быть из России.
Несмотря на то, вредонос не новый, важно повысить осведомленность об этой угрозе, говорят исследователи в области безопасности. Эксперты также отмечают, что зараженные маршрутизаторы имеют следы конкретных запущенных процессов.
Эксперты антивирусной компании «Лаборатория Касперского» собрали статистику за 12 месяцев, согласно которой пользователи 930 тыс. раз пытались скачать вредоносные программы под видом популярных нелицензионных игр.
Согласно отчету (PDF), самой привлекательной игрой для скачивания оказалась Minecraft — фейковую копию этой игры пытались скачать более 310 тысяч пользователей.
За Minecraft шли вредоносные программы, маскирующиеся под GTA 5 и Sims 4, — 112 тысяч и почти 105 тысяч соответственно.
Помимо этого, отлично работала схема распространения еще не вышедших новинок игровой индустрии, которые все ждут. Как минимум десятью ожидаемыми релизами прикрывались киберпреступники.
80% вредоносных программ пряталось под масками фейковых FIFA 20, Elder Scrolls 6 и Borderlands 3.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
