Windows-вирус переделали под Linux

Если вы все ещё считаете, что вирусов под Linux-системы ещё никто не пишет, и такой безопасной операционной системой пользоваться можно без установки антивирусного ПО, то вы глубоко заблуждаетесь. Windows-вирус ChaChi переделали под Linux.

Редким примером того, как вредоносное ПО, изначально созданное для Windows, впоследствии было адаптировано к Linux, стала обнаруженная на просторах Сети Linux-версия трояна удалённого доступа ChaChi.

Эта программа написана на разработанном Google языке GoLang, что выделяет её на фоне типичного вредоносного ПО, которое, как правило компилируется в C или C++. Из-за этого, лишь немногие антивирусные продукты способны обнаруживать ChaChi.

Она впервые попала в поле зрения экспертов кибербезопасности в прошлом году и использовалась группой кибервымогателей PYSA (также известна под именем Mespinoza) в атаках на школы США.

ChaChi, это сокращение от ChaShell (имя провайдера «обратной оболочки через DNS») и Chisel (инструмент переадресации портов).

Linux-вариант ChaChi обнаружили исследователи из фирмы Lacework. Они также отметили, что в отличие от традиционной инфраструктуры ИТ, базирующейся главным образом на Windows, облачная инфраструктура на 80 и более процентов основана на Linux. Таким образом, открытие портированного на Linux трояна ясно сигнализирует о том, что банды ransomware и другие киберпреступники переносят внимание на облачные цели.

Linux-версия ChaChi имеет ту же базовую функциональность, что и исходный троян для Windows, отличается большим размером файла (более 8 МБ) и использует обфускатор кода под названием Gobfuscate.

Вредоносная программа использует специальные серверы имен, одновременно выступающие C&C-центрами, для поддержки протокола туннелирования DNS. Интересно, что IP-адреса двух доменов разрешаются как принадлежащие хостингу Global Accelerator компании AWS, хотя могут быть связаны с доменами, регистрируемыми фирмой Namecheap.

«Многие злоумышленники нацеливаются на несколько архитектур, чтобы увеличить свою базу операций, это может быть мотивом здесь и может отражать эволюцию деятельности PYSA, — заключают представители Lacework. — Хотя программы-вымогатели редко атакуют серверы Linux и облачную инфраструктуру, такая возможность по-прежнему представляет реальную угрозу для бизнес-операций и данных клиентов».

Головний редактор Марина Жуковіна

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *