Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Linux-троян Stantinko теперь маскируется под web-сервер Apache

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-20-2025, 10:43 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Маскируясь под процесс httpd, вредонос скрывает свою активность, поскольку web-сервер Apache включен во многие дистрибутивы Linux.

Операторы одного из самых старых существующих на сегодняшний день активных ботнетов Stantinko обновили свой троян для Linux, и теперь для обхода обнаружения он маскируется под процесс легитимного web-сервера Apache (httpd).
Ботнет Stantinko впервые был обнаружен в 2012 году и изначально атаковал только пользователей Windows. Вредоносное ПО распространялось через взломанные программы или в комплекте с другими приложениями и использовалось для отображения на зараженной системе нежелательной рекламы или криптовалютных майнеров.
Когда прибыль от вредоносного ПО стала расти, операторы ботнета стали модернизировать свой код. К примеру, в 2017 году появилась версия трояна для Linux-устройств. Маскируясь под прокси SOCKS5, данная версия вредоноса превращала зараженные Linux-устройства в узлы в большей прокси-сети. Зараженные системы использовались для осуществления брутфорс-атак на системы управления контентом (CMS), базы данных и другие web-системы.
После компрометации системы операторы Stantinko повышают свои привилегии для доступа к ОС (Linux или Windows) устанавливает копию вредоносного ПО и криптомайнер.
Версия обнаруженного в 2017 году Linux-трояна была 1.2. В недавнем отчете специалисты ИБ-компании Intezer Labs описали версию 2.17. Новая версия вредоносного ПО меньше весит и содержит гораздо меньше функций, чем версия трехгодичной давности, что довольно необычно, ведь с годами, как правило, вредоносные программы становятся объемнее.
Операторы вредоноса удалили из своего кода все второстепенное, оставив только самые главные функции, в том числе функцию прокси. Еще одна причина уменьшения трояна в размере – желание разработчиков свести к минимуму количество оставляемых им цифровых отпечатков. Чем меньше строк в коде, тем сложнее антивирусным решениям их обнаруживать.
В новой версии трояна разработчики изменили имя процесса, под который он маскируется. Теперь это процесс httpd – имя, обычно используемое более известным web-сервером Apache. Причина заключается в желании скрыть вредоносную активность с глаз пользователей, поскольку web-сервер Apache включен во многие дистрибутивы Linux по умолчанию.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 06:38 AM.

Contact Us - Carder.life - Archive - Top