یک نوع بدافزار جدید داده‌ها را بدون شناسایی، از دستگاه‌های لینوکسی می‌دزدد.

به تازگی یک بدافزار جدید مخصوص لینوکس کشف شده که می‌تواند از دید برنامه‌های آنتی ویروس پنهان بماند، داده‌های حساس را برباید و همه فرآیند‌های در حال اجرا روی دستگاه را آلوده کند.

محققان امنیت سایبری شرکت Intezer Labs می‌گویند این بدافزار، با نام OrBit، متغیر محیطی LD_PRELOAD را تغییر می‌دهد و به آن اجازه می‌دهد کتابخانه‌های مشترک را ربوده و در نتیجه، فراخوانی‌های تابع را رهگیری کند.

در توضیح عملکرد این بدافزار، نیکول فیشبین محقق آزمایشگاه Intezer گفت: این بدافزار تکنیک‌های پیشرفته گریز را پیاده‌سازی می‌کند و با اتصال عملکرد‌های کلیدی روی دستگاه، قابلیت‌های دسترسی از راه دور بر روی SSH را برای عوامل تهدید فراهم می‌کند، همچنین اعتبارنامه‌ها را جمع‌آوری می‌کند و دستورات TTY را ثبت می‌کند. هنگامی که بدافزار نصب شد، تمام فرآیند‌های در حال اجرا، از جمله فرآیند‌های جدید، آلوده می‌شوند.

محققان گفتند تا همین اواخر، اکثر آنتی ویروس‌ها OrBit dropper یا payload را به عنوان مخرب تلقی نمی‌کردند، اما اکنون، برخی از ارائه دهندگان خدمات ضد بدافزار، OrBit را به عنوان مخرب شناسایی می‌کنند.

چیزی که کارکرد این بدافزار را جالب می‌کند این است که در حین سرقت اطلاعات پایداری دارد و از شناسایی شدن فرار کند.

BleepingComputer دریافته است که هکر‌ها اخیراً در پلتفرم لینوکس کاملاً فعال بوده اند، چون علاوه بر OrBit، بدافزار Symbiote نیز که اخیراً کشف شده، از دستورالعمل LD_PRELOAD برای بارگیری خود در فرآیند‌های در حال اجرا استفاده می‌کند.