Waylon Grange, da Stage 2 Security, descobriu que o Malware TrickBot está infectando dispositivos Linux! Confira os detalhes e veja como se proteger.
O famoso malware TrickBot ganhou seu nome em 2019, quando começou a realizar atividades ilegais, incluindo roubo de credenciais, roubo de informações pessoais, infiltração de domínio do Windows e também atuou como conta-gotas de malware.
Até agora, o TrickBot era conhecido como um malware multiuso do Windows, com vários módulos afetando o sistema operacional, mas agora um dos módulos da estrutura do TrickBot, apelidado de “Anchor_DNS”, foi portado para infectar dispositivos Linux. O Anchor_DNS geralmente visa sistemas de alto valor para roubar informações financeiras valiosas.
Malware TrickBot está infectando dispositivos Linux
Um pesquisador de segurança chamado Waylon Grange, da Stage 2 Security, descobriu que o Anchor_DNS foi portado para uma versão Linux chamada ‘Anchor_Linux’. Com a evolução, a versão do malware do Linux pode ter como alvo vários dispositivos IoT, incluindo roteadores, dispositivos VPN e dispositivos NAS executando no Linux.
Conforme analisado por Vitali Kremez, da Advanced Intel, o Anchor_Linux usa a seguinte entrada crontab para executar a cada minuto uma vez instalado:
*/1 * * * * root [filename]
Foi descoberto que o módulo não pode atuar apenas como um backdoor para infectar dispositivos Linux eliminando malware, mas também contém um executável Windows TrickBot incorporado.
Intezer, que encontrou uma amostra do malware Anchor_Linux, diz que é um novo “backdoor leve com capacidade de se espalhar para caixas vizinhas do Windows usando svcctl via SMB”.
[1/3]
We detected a new Linux #Trickbot sample:https://t.co/cLOuBQZHII
"anchor_linux" – anchor_dns on Linux.
Lightweight backdoor with ability to spread to neighboring Windows boxes using svcctl via SMB.->> pic.twitter.com/KlCVlPQgHb
— Intezer (@IntezerLabs) July 29, 2020
O interessante é que, com o Anchor_Linux, os maus atores podem direcionar ambientes não Windows e girar para dispositivos Windows na mesma rede. Falando à Bleeping Computer, Kremez disse:
“O malware atua como uma ferramenta secreta de persistência de backdoor no ambiente UNIX usado como um pivô para a exploração do Windows e também como um vetor de ataque inicial não ortodoxo fora do phishing por email. Permite ao grupo direcionar e infectar servidores no ambiente UNIX (como roteadores) e usá-lo para dinamizar as redes corporativas.”
Como verificar se o seu sistema está infectado pelo malware Anchor_Linux?
Os pesquisadores de segurança dizem que os usuários do Linux podem verificar se o Anchor_linux direcionou seu sistema pesquisando o arquivo “/tmp/Anchor.log”.
Se esse arquivo existir, é recomendável que os usuários do Linux examinem o sistema em busca desse notório malware.
Os pesquisadores de segurança acreditam que o Anchor_Linux ainda está nos estágios iniciais e continuará evoluindo, tornando-o mais prejudicial para os sistemas.
- Como instalar o jogo Kobo Deluxe no Linux via Flatpak
- Como instalar o lançador de jogos Pegasus no Linux via Flatpak
- Conheça batocera.linux e divirta-se com jogos antigos
- Como instalar o Sudoku Solver no Linux via Flatpak
O que está sendo falado no blog
- Fedora 40 lançado com GNOME 46, kernel 6.8, e muito mais
- Como atualizar para o Ubuntu 24.04 LTS via terminal (server e desktop)
