OrBit позволяет злоумышленникам похищать учетные данные жертв и регистрировать tty-команды.
ИБ-специалисты из компании Intezer подробно описали новый вредонос, получивший название Orbit. Вредоносная программа предоставляет хакерам удаленный доступ к Linux-системам по SSH, позволяет красть учетные данные пользователей и регистрировать tty-команды.
Кроме того, OrBit заражает запущенные устройстве процессы, благодаря чему хакеры получают контроль над системой, необходимый для слежки за жертвой, кражи ее информации и сохранения бэкдора.
После развертки вредонос устанавливает удаленное соединение с устройством и подключает функции модуля Pluggable Authentication Module. Таким образом, OrBit может красть информацию из SSH-соединений, предоставляя удаленный доступ злоумышленникам и одновременно скрывая сетевую активность жертвы.
OrBit также способен прочно закрепляться в системе, так как использует инструкции, запускающие вредоноса перед любыми другими процессами. К тому же, OrBit отлично уклоняется от обнаружения, манипулируя выходными данными и просто не позволяя обнаружить информацию, которая может раскрыть его существование.
"В отличие от других похожих вредоносных программ, OrBit крадет информацию из различных команд и утилит, после чего сохраняет ее во временных файлах на устройстве", – говорит Николь Фишбейн, исследователь безопасности из компании Intezer .
"Вредоносное ПО, нацеленное на Linux, продолжает развиваться, успешно оставаясь вне поля зрения систем безопасности. OrBit стал еще одним примером того, насколько скрытными и устойчивыми могут быть новые вредоносы", – добавила она.
Наш канал — питательная среда для вашего интеллекта