محققان امنیت سایبری شرکت Intezer Labs میگویند این بدافزار، با نام OrBit، متغیر محیطی LD_PRELOAD را تغییر میدهد و به آن اجازه میدهد کتابخانههای مشترک را ربوده و در نتیجه، فراخوانیهای تابع را رهگیری کند.
در توضیح عملکرد این بدافزار، نیکول فیشبین محقق آزمایشگاه Intezer گفت: این بدافزار تکنیکهای پیشرفته گریز را پیادهسازی میکند و با اتصال عملکردهای کلیدی روی دستگاه، قابلیتهای دسترسی از راه دور بر روی SSH را برای عوامل تهدید فراهم میکند، همچنین اعتبارنامهها را جمعآوری میکند و دستورات TTY را ثبت میکند. هنگامی که بدافزار نصب شد، تمام فرآیندهای در حال اجرا، از جمله فرآیندهای جدید، آلوده میشوند.
به تازگی یک بدافزار جدید مخصوص لینوکس کشف شده که میتواند از دید برنامههای آنتی ویروس پنهان بماند، دادههای حساس را برباید و همه فرآیندهای در حال اجرا روی دستگاه را آلوده کند.
بیشتر بخوانید
BleepingComputer دریافته است که هکرها اخیراً در پلتفرم لینوکس کاملاً فعال بوده اند، چون علاوه بر OrBit، بدافزار Symbiote نیز که اخیراً کشف شده، از دستورالعمل LD_PRELOAD برای بارگیری خود در فرآیندهای در حال اجرا استفاده میکند.
چیزی که کارکرد این بدافزار را جالب میکند این است که در حین سرقت اطلاعات پایداری دارد و از شناسایی شدن فرار کند.
محققان گفتند تا همین اواخر، اکثر آنتی ویروسها OrBit dropper یا payload را به عنوان مخرب تلقی نمیکردند، اما اکنون، برخی از ارائه دهندگان خدمات ضد بدافزار، OrBit را به عنوان مخرب شناسایی میکنند.