Ekspertët nga kompania japoneze Trend Micro, e specializuar në çështjet e sigurisë kibernetike, zbuluan programin keqdashës SprySOCKS, i cili përdoret për të sulmuar makinat që drejtojnë familjen e sistemeve Linux.
Malware i ri vjen nga Windows Backdoor Trochilus, Zbuluar 2015 nga studiues të kompanisë Arbor Networks, ai lëshohet dhe ekzekutohet vetëm në memorie dhe ngarkesa e tij nuk ruhet në disqe, gjë që e ndërlikon ndjeshëm zbulimin. Në qershor të këtij viti, studiuesit e Trend Micro zbuluan një skedar të quajtur "libmonitor.so.2" në një server të përdorur nga një grup, aktivitetin e të cilit ata e kishin monitoruar që nga viti 2021. Në bazën e të dhënave VirusTotal, ata zbuluan skedarin e ekzekutueshëm të lidhur "mkmon", i cili ndihmoi në dekriptimin e "libmonitor.so.2" dhe zbulimin e ngarkesës së tij.
Doli se ky është një program kompleks me qëllim të keq për Linux, funksionaliteti i të cilit përkon pjesërisht me aftësitë e Trochilus dhe ka një zbatim origjinal të protokollit Socket Secure (SOCKS), kështu që malware iu dha emri SprySOCKS. Kjo ju lejon të grumbulloni informacione rreth sistemit, të hapni një ndërfaqe komanduese të menaxhimit në distancë (predhë), të formoni një listë lidhjesh rrjeti, të vendosni një server proxy bazuar në protokollin SOCKS për të shkëmbyer të dhëna midis sistemit të komprometuar dhe serverit të komandës së sulmuesit, dhe kryejnë operacione të tjera. Specifikimi i versioneve të malware sugjeron që ai është ende në zhvillim e sipër.
Studiuesit sugjerojnë se SprySOCKS përdoret nga hakerat e grupit Earth Lusca - u zbulua për herë të parë në vitin 2021 dhe u shfaq në listën e kriminelëve kibernetikë një vit më vonë. Grupi përdor metoda të inxhinierisë sociale për të infektuar sistemet. SprySOCKS instalon paketat Cobalt Strike dhe Winnti si ngarkesë. E para është një komplet për gjetjen dhe shfrytëzimin e dobësive; i dyti, i cili është më shumë se dhjetë vjeç, kontakton autoritetet kineze. Ekziston një version që grupi Earth Lusca, i cili punon kryesisht me objektiva aziatikë, synon të përvetësojë fonde, sepse viktimat e tij janë shpesh kompani të përfshira në lojëra të fatit dhe kriptomonedha.
Lexoni gjithashtu:
- Microsoft akuzohej për “neglizhencë flagrante” të sigurisë kibernetike
- Hakerët çaktivizuan një nga observatorët më modernë astronomikë