Recent cercetătorii ESET au prezentat informații dintr-o investigație nouă realizată în colaborare cu firma de securitate GoSecure asupra malware-ului Linux/Moose.
Detectat pentru prima oară de către ESET Virus Radar în martie 2015, Linux/Moose a fost inițial operat ca un backdoor controlat de la distanță ce avea drept obiectiv routerele bazate pe Linux ale utilizatorilor. După cum s-a prezentat în cadrul unui raport ESET din 2015, codul malware este capabil să infecteze, de asemenea, alte sisteme ce folosesc Linux-ul utilizând dispozitive compromise pentru a fura date din traficul de rețea necriptat și pentru a oferi servicii de proxy operatorilor de botnet. În ultimul an, malware-ul Linux/Moose a evoluat. Pentru a înțelege mai bine schimbările, GoSecure a investigat aspectele fraudei în social media pentru a releva o piață necunoscută numită “The Ego Market”, în timp ce cercetătorii ESET s-au axat pe schimbările tehnice ale variantelor Moose. Una dintre schimbările cheie observate în noua variantă de cod malware a fost lipsa unei adrese IP de comandă și control (C&C) hardcoded în malware. În noua versiune acest aspect este înlocuit de o linie de comandă criptată. Această nouă funcționalitate înseamnă că secvența malware nu mai poate rula fără ca mașina noastră să nu fie compromisă în prealabil de o alta secvență de cod ce răspândește amenințări necontrolat pentru a recupera adresa IP de C&C. Și nu în ultimul rând, schimbările discutate pe blogul de securitate ESET înseamnă că autorii codului Linux/Moose au muncit din greu pentru a nu fi descoperiți.
|