Эксперты рассказали о функционале Linux-бэкдора FakeFile

Эксперты рассказали о функционале Linux-бэкдора FakeFile

Для осуществления вредоносной деятельности трояну не нужны права суперпользователя.

image

Исследователи компании «Доктор Веб» опубликовали анализ функциональности бэкдора, способного работать на устройствах под управлением ОС Linux. Троян, получивший название Linux.BackDoor.FakeFile.1 (по классификации «Доктор Веб»), маскируется под PDF-файлы, документы MS Office или Open Office.

При запуске вредонос сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. Затем в папке, из которой запускается, он ищет скрытый файл с аналогичным своему именем и перемещает его на место исполняемого файла. В случае отсутствия документа, троян создает его и открывает в gedit.

На следующем этапе FakeFile проводит проверку имени дистрибутива Linux, установленного на системе. Если оно отлично от openSUSE, троян записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для своего автозапуска. Далее вредоносная программа извлекает из собственного файла и расшифровывает конфигурационные данные, а затем запускает два потока. Первый предназначен для обмена данными с C&C-сервером, а второй отслеживает продолжительность соединения (после 30 минут соединение разрывается).

Функционал бэкдора включает следующие возможности: передачу различных данных на управляющий сервер; удаление каталога и файла; переименование указанной папки, самоудаление; запуск новой копии процесса; организация и завершение backconnect, запуск sh; создание файлов и папок и пр.

Как отмечают исследователи, для работы трояна не требуются привилегии суперпользователя. Вредонос может выполнять действия с правами текущего пользователя.

В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!