Почастішали випадки використання трояна Hand of Thief для Linux

Почастішали випадки використання трояна Hand of Thief для Linux

Почастішали випадки використання трояна Hand of Thief для Linux

Після успішної інсталяції троян обмежує користувачам доступ до адрес, через які можна завантажити оновлення або антивірусне ПЗ.

Фахівці компанії «Доктор Веб» стверджують , що зловмисники стали активно використовувати Hand of Thief. Більше того, існують спеціальні форуми, де можна купити програму Linux.Hanthie з вмонтованим трояном.

Нагадаємо, що близько двох тижнів тому експерти компанії повідомили про цей троян для дистрибутивів Linux. Він не тільки володіє широким функціоналом, але і залишається невидимим для антивірусних програм.

Після успішної інсталяції вірус обмежує користувачам доступ до адрес, через які можна завантажити оновлення або антивірусне ПЗ.

«Поточна версія Linux.Hanthie не володіє якими-небудь механізмами самокопіювання, тому розробники троянця у своїх повідомленнях на хакерських форумах рекомендують поширювати його з використанням методів соціальної інженерії. Троянець може працювати в різних дистрибутивах Linux, в тому числі Ubuntu, Fedora і Debian, і підтримує вісім типів десктоп-оточень, наприклад, GNOME і KDE », – повідомляють в «Доктор Веб».

Зазначимо, що троян створює виконувану бібліотеку, вбудовану в усі запущені процеси, в папці для зберігання тимчасових файлів. Якщо вірус не вдається вбудувати її в який-небудь процес, то він запускає новий виконуваний файл, який відповідає тільки за взаємодію з керуючим сервером.

Програма може перехоплювати HTTP і HTTPS-сесії і відправляти зловмисникам дані із заповнюваних користувачам екранних форм. Крім того, троян може діяти як бекдор, шифруючи трафік при обміні даними з керуючим сервером.

«Троянець здатний виконати кілька команд, зокрема, по команді socks він запускає на інфікованій машині проксі-сервер, за командою bind запускає скрипт для прослуховування порту, за командою bc підключається до віддаленого сервера, за командою update завантажує і встановлює оновлену версію троянця, а по команді rm – самовидаляється. При спробі звернення до запущеним скриптам bind або bc троянець виводить в командному консолі такі повідомлення», – наводять приклад ІБ-експерти.

Залишити коментар

Ваша електронна адреса не буде опублікована.Обов'язкові поля позначені *

*