Исследователи компании Trend Micro предупреждают о появлении руткита под Linux, распространяющийся через ручные установки и нацеленный на платформы Intel и ARM. Этот руткит предоставляет злоумышленникам полный контроль над зараженными устройствами.
Именуемый Umbreon, вредонос получил свое имя от одного из покемонов, который известен тем, что скрывается в темноте. Эксперты говорят, что эта характеристика вполне подходит данному руткиту. По словам Trend Micro, развитие этой вредоносной программы началось в начале 2015 года, хотя ее автор действует еще с 2013.
Руткит работает Umbreon работает в различных режимах: в режиме пользователя (кольцо 3), в режиме ядра (кольцо 0), гипервизор (кольцо -1), в режиме системного управления (кольцо -2). По мнению исследователей, чем ниже уровень, на котором работает руткит, тем сложнее его обнаружить и обезвредить.
«Несмотря на то, что в режиме пользователя (кольцо 3) руткит не устанавливает объекты ядра, из этого режима вполне возможно шпионить за пользователем и влиять на то, что происходит в операционной системе» - старший научный исследователь Trend Micro Фернандо Мерсез (Fernando Mercês).
Umbreon был успешно протестирован на трех различных платформах: x86, x86-64 и ARM (Raspberry Pi), результаты показали, что зловред портативный. Кроме того, как отмечает исследователь, написан руткит на чистом C и имеет некоторые дополнительные компоненты, написанные на Python и Bash.
Во время установки вредонос создает пользователя Linux со специальным GID (идентификатор группы), обеспечивая доступ к зараженной системе. Злоумышленник может получить доступ к учетной записи с помощью подключаемых модулей аутентификации, включая SSH. Созданный Umbreon пользователь не отображается в /etc/passwd по причине того, что функции libc перехватываются вредоносом.
Umbreon также включает в себя бэкдор под названием Espeon, тоже написанный на C. Он устанавливает связь со злоумышленником, минуя брандмауэры. Руткит может замаскировать себя с помощью утилиты Linux Strace. Таким образом ему удается обойти инструменты анализа трафика. Эксперт утверждает, что операция по удалению этого руткита может представлять некоторую сложность и привести систему в нерабочее состояние.
Разработчики WhatsApp запустили поддержку ключей доступа на iPhone по всему миру. Теперь верификацию можно проходить без необходимости отправки и ввода одноразовых кодов из СМС-сообщений.
Полгода назад WhatsApp уже ввёл беспарольный доступ для пользователей Android, предоставив им возможность попрощаться с двухфакторной аутентификацией по СМС.
Теперь любители «яблочной» iOS тоже могут воспользоваться passkey: при включении соответствующей опции входить в учётку WhatsApp можно через сканирование лица или ПИН-кода, сохранённого в «родном» менеджере ключей на iPhone.
Считается, что технология ключей доступа способна ощутимо затруднить жизнь злоумышленникам, пытающимся удалённо получить доступ к вашей учётной записи.
Параллельно passkey избавляет пользователей от необходимости постоянно вводить логины и пароли (которые ещё могут и попасть в руки киберпреступников). В случае с passkey злоумышленнику потребуется физический доступ к девайсу, чтобы войти в аккаунт WhatsApp.
Активировать ключи доступа можно в настройках мессенджера в разделе «Аккаунт».
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
