Обнаружен второй за последнюю неделю Linux-троян

Специалисты компании «Доктор Веб» сообщили об обнаружении очередного вредоносного ПО для Linux, способного делать снимки экрана и фиксировать нажатия клавиш на клавиатуре. Возможно, Linux.BackDoor.Xunpes.1 был создан специально для атак на Bitcoin-банкоматы производства испанской фирмы Pay MaQ. При запуске троян выводит на экран диалоговое окно, содержащее форму авторизации с логотипом данной компании.

Вредонос состоит из дроппера и полезной нагрузки. При запуске дроппера второй компонент трояна (бэкдор) сохраняется в папку /tmp/.ltmp/. Запустившись на исполнение, с помощью зашитых в тело трояна ключей бэкдор расшифровывает конфигурационные строки, зашифрованные по алгоритму RC4. После установки защищенного соединения с удаленным C&C-сервером вредонос приступает к выполнению команд. Все сообщения, кроме команды с id=5, поступают в зашифрованном виде.

Вредонос также содержит три логина и три пароля. Страница авторизации выдает ошибку, если их не ввести. По мнению экспертов, учетные данные могут представлять собой информацию об отладке, по недосмотру оставленную разработчиками трояна.

В последнее время дела у Pay MaQ шли не очень хорошо. В 2014 году фирма пыталась собрать на краудфандинговом сайте Indiegogo 60 тыс. евро с целью запустить производство недорогих Bitcoin-банкоматов. Кампания не увенчалась успехом, поэтому непонятно, зачем кому-то понадобилось создавать вредоносное ПО под малоизвестное устройство. Правда, Linux.BackDoor.Xunpes.1 может работать и на дистрибутивах Linux, таких как Ubuntu.

Напомним, на текущей неделе эксперты «Доктор Веб» также обнаружили Linux-троян Linux.Ekoms.1, способный делать снимки экрана, загружать и выполнять произвольные файлы на инфицированных ПК.