LINUX: Trojan Xunpes ameaça o sistema
Um novo trojan tendo como alvo o sistema Linux foi descoberto. Este código foi desenvolvido para grande versatilidade em envolvimento de atividades maliciosas, de acordo com pesquisadores da empresa de segurança Dr.Web.
Apelidado Linux.BackDoor.Xunpes.1, a nova ameaça foi encontrada para incluir um conta-gotas (rotina de recepção ou transmissão de dados sem percepção do usuário) e uma backdoor, sendo este último usado para executar operações de espionagem em dispositivos infectados. A rotina conta-gotas foi construída usando o Lazarus, um software-livre IDE multi-plataforma para o compilador Free Pascal e contém a backdoor em seu corpo.
O backdoor é armazenado em forma não criptografada no corpo do conta-gotas e é salvo na pasta /tmp/.ltmp/ após o código conta-gotas ser lançado, explicam os pesquisadores. Eles também alertam que este segundo componente do trojan é a única rotina responsável pela execução das principais funções maliciosas do malware.
Uma vez que a infecção é bem sucedida, o trojan multiuso pode executar operações que incluem download de arquivos em dispositivos infectados, diferentes operações realizadas com objetos de arquivo, screenshots (captura da tela do dispositivo), keylogging (captura das teclas do teclado) e muitas outras funções.
Assim que o backdoor é lançado, ele usa uma chave codificada em seu corpo para descriptografar o arquivo de configuração, que inclui uma lista de servidores C&C (Command-and-Control) e endereços de servidor proxy, juntamente com outros elementos de informação que são necessários para o seu correto funcionamento. Em seguida, estabelece uma conexão com o servidor e aguarda C & C para os comandos de cibercriminosos.
Dr.Web revela que o Linux.BackDoor.Xunpes.1 Trojan é capaz de executar mais de 40 comandos, roubar informações do usuário, enviar nomes de arquivos em um diretório especificado e também pode enviar esses arquivos para o servidor, e que ele pode criar, remover e renomear arquivos e pastas. Além disso, os cérebros por trás do malware pode usá-lo para executar comandos Bash (um comando crítico e privilegiado no Linux), enviar informações sobre o dispositivo, enviar o arquivo .default.conf, fechar janelas especificadas, e muito mais.
Somado a outro malware descoberto na semana passada pelo mesmo grupo de pesquisadores (Linux.Ekoms.1 - projetado para tirar screenshots nos dispositivos infectados, criptografá-los a cada 30 segundos e enviá-los para o servidor C&C) e pela falha descrita neste POST, vemos um esforço concentrado de grupos hackers mais uma vez sobre o sistema "livre" mais usado em todo o mundo; incluindo sistemas Android que rodam sobre "sabores" de Linux.
Esta notícia só reforça o que sempre recomendo aos meus clientes e amigos: softwares open-source são uma grande idéia de fato, mas na prática se mostram muito aquém dos softwares de código-proprietário na percepção e solução de problemas e vulnerabilidades. E sendo open-source, facilitam que grupos especializados os estudem a fundo, descobrindo maneiras altamente eficazes e sofisticadas de infectá-los - e não estou nem falando de "inimigos internos" que, tendo os programas-fonte do Linux na mão, podem compilar armadilhas e backdoors, substituindo o Linux em equipamentos críticos e tendo acesso privilegiado onde anteriormente não tinham.
Uma das prerrogativas de nosso CIFRA EXTREMA é não rodar em Linux, justamente porque existem formas de ataque que podem, de forma eficiente e eficaz, obter a informação protegida sem nem mesmo atacar o software em si; capturando telas, saídas de dados e entradas de teclado, mesmo antes da informação ser codificada. Você se sentiria confortável com estas possibilidades em seu sistema?
