Los expertos hablaron de Linux-variante del troyano Winnti

expertos en la crónica del alfabeto de seguridad cibernética que sostiene la versión Linux descubierto sobre Winnie de puerta trasera que es popular entre los hackers chinos para muchos años.

Linux-versión de una puerta trasera fue descubierto después de una reciente noticia de que piratas informáticos chinos que solicitaron Winnti atacaron Bayer (una de las mayores compañías farmacéuticas del mundo).

analistas Chronicle llevaron a cabo investigaciones adicionales sobre Winnti en VirusTotal y la variante de fond para Linu que se utilizó en 2015 de los ataques contra las compañías de juego vietnamitas.

“herramientas especiales para Linux a partir de grupos de seguridad cibernética de China rara vez se cumplen, y esto es una sorpresa. Históricamente herramientas tales como HKdoor, Htran y Derusbi también tenían Linux-versión - dice Silas Cutler, Crónica conduce ingeniería inversa.

el malware descubierto compone de dos partes: rootkit que esconde malware en huésped infectado, y puerta trasera sí mismo.

Un análisis más detallado de malware encontró similitud de los códigos iniciales de Linux-versión y clásico Winnti 2.0 Para ventanas que en los detalles se describe expertos de “laboratorio de Kaspersky”y Novett empresa.

Adicionalmente, variaciones Windows y Linux utilizar métodos similares para la comunicación con los servidores de administración.

leer también: “Paquete RGO de la muerte” vulnerabilidad se encuentra en el kernel de Linux

usos de Troya ICMP, HTTP protocolos y realizaciones propias como TCP y Audra para obtener módulos adicionales desde el centro de control. Como especialistas nota, cibercriminales también capaz de conectarse directamente al sistema infectado, si los servidores de comando Winnti no estarán disponibles. funciones finales de aplicaciones de malware están definidas por un conjunto de plugins que pueden variar dependiendo de la finalidad.

Libxselinux.so rootkit es responsable de ocultar las acciones de Winnti en la máquina infectada. Programa es una variante alterado de Azazel utilidad que está disponible en GitHub. Guión asigna códigos de letras a las principales funciones del software malicioso y modifica su respuesta a las solicitudes con el fin de evitar que los escáneres antivirus de activación.

Winnti desarrolladores añaden en Azazel Decrypt2 operador que se aplica para descifrar los archivos de configuración de Libxselinux.so módulo. Además, los autores de malware incluidas en el código de utilidad puertos únicos y procesos de los identificadores que están involucrados por Trojan. Promover, estos nombres se utilizan durante el procesamiento de comandos desde el centro de control.

Adicionalmente, el malware descubierto recientemente tiene forma de repuesto para comunicarse con los operadores que permite a los piratas informáticos se comunican con una puerta trasera directamente, evitando C&servidores C.

Las investigaciones señalan que aunque Linux-malware rara vez se reunió en el arsenal de los piratas informáticos gubernamentales y anteriores se observó que los grupos de hackers estadounidenses y rusos no ignorar otras plataformas y tener malware para estos casos.

“Una expansión en herramientas de Linux indica repetición fuera de su zona de confort tradicional. Esto puede indicar los requisitos del sistema operativo de sus blancos, pero también puede ser un intento de tomar ventaja de un punto ciego telemitry seguridad en muchas empresas”, - concluir especialista Crónica.

Fuente: https://medium.com

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Investigadores de Malwarebytes informaron sobre la búsqueda de varios skimmers MageCart web en la plataforma de nube Heroku …

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta