Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Linux-троян Stantinko теперь маскируется под web-сервер Apache (http://txgate.io:443/showthread.php?t=15847)

Artifact 01-20-2025 10:43 PM

Маскируясь под процесс httpd, вредонос скрывает свою активность, поскольку web-сервер Apache включен во многие дистрибутивы Linux.
https://www.securitylab.ru/upload/ib...926f39d750.jpg
Операторы одного из самых старых существующих на сегодняшний день активных ботнетов Stantinko обновили свой троян для Linux, и теперь для обхода обнаружения он маскируется под процесс легитимного web-сервера Apache (httpd).
Ботнет Stantinko впервые был обнаружен в 2012 году и изначально атаковал только пользователей Windows. Вредоносное ПО распространялось через взломанные программы или в комплекте с другими приложениями и использовалось для отображения на зараженной системе нежелательной рекламы или криптовалютных майнеров.
Когда прибыль от вредоносного ПО стала расти, операторы ботнета стали модернизировать свой код. К примеру, в 2017 году появилась версия трояна для Linux-устройств. Маскируясь под прокси SOCKS5, данная версия вредоноса превращала зараженные Linux-устройства в узлы в большей прокси-сети. Зараженные системы использовались для осуществления брутфорс-атак на системы управления контентом (CMS), базы данных и другие web-системы.
После компрометации системы операторы Stantinko повышают свои привилегии для доступа к ОС (Linux или Windows) устанавливает копию вредоносного ПО и криптомайнер.
Версия обнаруженного в 2017 году Linux-трояна была 1.2. В недавнем отчете специалисты ИБ-компании Intezer Labs описали версию 2.17. Новая версия вредоносного ПО меньше весит и содержит гораздо меньше функций, чем версия трехгодичной давности, что довольно необычно, ведь с годами, как правило, вредоносные программы становятся объемнее.
Операторы вредоноса удалили из своего кода все второстепенное, оставив только самые главные функции, в том числе функцию прокси. Еще одна причина уменьшения трояна в размере – желание разработчиков свести к минимуму количество оставляемых им цифровых отпечатков. Чем меньше строк в коде, тем сложнее антивирусным решениям их обнаруживать.
В новой версии трояна разработчики изменили имя процесса, под который он маскируется. Теперь это процесс httpd – имя, обычно используемое более известным web-сервером Apache. Причина заключается в желании скрыть вредоносную активность с глаз пользователей, поскольку web-сервер Apache включен во многие дистрибутивы Linux по умолчанию.


All times are GMT. The time now is 11:33 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.