Malware TrickBot está infectando dispositivos Linux! Proteja-se!

Waylon Grange, da Stage 2 Security, descobriu que o Malware TrickBot está infectando dispositivos Linux! Confira os detalhes e veja como se proteger.

O famoso malware TrickBot ganhou seu nome em 2019, quando começou a realizar atividades ilegais, incluindo roubo de credenciais, roubo de informações pessoais, infiltração de domínio do Windows e também atuou como conta-gotas de malware.

Até agora, o TrickBot era conhecido como um malware multiuso do Windows, com vários módulos afetando o sistema operacional, mas agora um dos módulos da estrutura do TrickBot, apelidado de “Anchor_DNS”, foi portado para infectar dispositivos Linux. O Anchor_DNS geralmente visa sistemas de alto valor para roubar informações financeiras valiosas.

Malware TrickBot está infectando dispositivos Linux

Malware TrickBot está infectando dispositivos Linux! Proteja-se!

Um pesquisador de segurança chamado Waylon Grange, da Stage 2 Security, descobriu que o Anchor_DNS foi portado para uma versão Linux chamada ‘Anchor_Linux’. Com a evolução, a versão do malware do Linux pode ter como alvo vários dispositivos IoT, incluindo roteadores, dispositivos VPN e dispositivos NAS executando no Linux.

Conforme analisado por Vitali Kremez, da Advanced Intel, o Anchor_Linux usa a seguinte entrada crontab para executar a cada minuto uma vez instalado:
*/1 * * * * root [filename]

Foi descoberto que o módulo não pode atuar apenas como um backdoor para infectar dispositivos Linux eliminando malware, mas também contém um executável Windows TrickBot incorporado.

Intezer, que encontrou uma amostra do malware Anchor_Linux, diz que é um novo “backdoor leve com capacidade de se espalhar para caixas vizinhas do Windows usando svcctl via SMB”.

O interessante é que, com o Anchor_Linux, os maus atores podem direcionar ambientes não Windows e girar para dispositivos Windows na mesma rede. Falando à Bleeping Computer, Kremez disse:

“O malware atua como uma ferramenta secreta de persistência de backdoor no ambiente UNIX usado como um pivô para a exploração do Windows e também como um vetor de ataque inicial não ortodoxo fora do phishing por email. Permite ao grupo direcionar e infectar servidores no ambiente UNIX (como roteadores) e usá-lo para dinamizar as redes corporativas.”

Como verificar se o seu sistema está infectado pelo malware Anchor_Linux?

Os pesquisadores de segurança dizem que os usuários do Linux podem verificar se o Anchor_linux direcionou seu sistema pesquisando o arquivo “/tmp/Anchor.log”.

Se esse arquivo existir, é recomendável que os usuários do Linux examinem o sistema em busca desse notório malware.

Os pesquisadores de segurança acreditam que o Anchor_Linux ainda está nos estágios iniciais e continuará evoluindo, tornando-o mais prejudicial para os sistemas.

O que está sendo falado no blog

Post Views: 297

Sair da versão mobile