O Winnti Cavalo de Tróia foi encontrado para ter uma nova iteração como usuários shave sido vítima de uma nova versão Linux do malware. O que é perigoso sobre este lançamento é o fato de que foi usado em um hack em 2015 contra uma empresa de jogos. O último incidente envolvendo isso é um hack contra uma grande empresa farmacêutica alemã no mês passado.
Versão do Winnti Trojan Horse Linux usada em ataques direcionados
De acordo com um novo relatório de segurança, a versão Linux do Trojan Winnti está sendo espalhada em todo o mundo contra usuários de computador. O último grande impacto que causou foi a invasão de uma grande empresa farmacêutica na Alemanha no mês passado.
No momento, uma campanha ativa foi detectada para se espalhar pelo mundo. O relatório de segurança indica que um coletivo criminoso desconhecido está distribuindo uma progênie da ameaça contra alvos definidos pelo hacker. Nesta versão em particular, o Trojan Winnti real é composto por dois arquivos: libxselinux que é a porta dos fundos principal e a libxselinux.so qual é a biblioteca. O arquivo de biblioteca é usado para ocultar a presença e atividade do malware. Após sua execução pelo script de inicialização, ele decodificará seu código embutido. Como resultado das operações, o mecanismo de malware ficará oculto do sistema, registrando-se como um aplicativo legítimo e conectando-se a processos existentes.
Uma das consequências mais perigosas de ter essa ameaça instalada em um determinado computador é o lançamento do módulo Trojan. Este malware específico usa vários protocolos, incluindo aqueles personalizados, para se comunicar com servidores controlados por hackers. Uma conexão feita pode ser mantida online e ativa para permitir que os hackers realizem várias ações maliciosas. As configurações comuns incluem a implantação de outras ameaças, incluindo ransomware, sequestradores e mineiros criptomoeda. Da mesma forma, outros comandos podem resultar na vigilância dos usuários vítimas - keylogging de sua entrada e captura de screenshots sob demanda ou em intervalos regulares.
Aconselhamos todos os usuários Linux a sempre corrigirem seus sistemas com os pacotes atualizados mais recentes de seus sistemas, a fim de evitar quaisquer tentativas de teste de vulnerabilidade. Para ter mais certeza de que a infecção pode ser evitada, os usuários do Linux também devem tomar nota dos arquivos que baixam e executam. Neste momento, a campanha de distribuição ativa está focada na disseminação de documentos maliciosos, não sabemos em que ponto essa tática pode mudar para outra coisa.