Hopp til navigasjon Hopp til innhold
Linux Mint ble hacket på lørdag. Fare for at brukere har lastet ned ISO med bakdør. (Ill.: Christiaan Colen)

Linux: Russisk sikkerhetsselskap oppdager to trojanere på en uke

Sikkerhetsspesialister hos russiske Dr Web har oppdaget to linux trojanere på èn uke

Russisk sikkerhetsselskap oppdager trojanere som tar skjermbilder, logger tastetrykk og sender informasjonen tilbake til angriperene.

Myntet på «Bitcoin minbanker»
Forskere hos russiske Dr Web har oppdaget en ny Linux trojaner som går under navnet Linux.BackDoor.Xunpes.1. Den er designet for å gå etter «Bitcoin minibanker» fra det spanske selskapet «Pay MaQ».

BitCoin ATM softaren er utviklet av spanske Pay MaQ
BitCoin ATM sofwtaren er utviklet av spanske Pay MaQ

Linux.BackDoor.Xunpes.1 som trojaneren heter har en dropper pakker (installasjonspakke) som etter å ha lagt seg inn kommer opp med en skjermbilde for pålogging til en «Pay MaQ» minibank terminal.

En bakdør opprettes i  /tmp/.ltmp/, den oppretter en kryptert tilkobling til en server som igjen utfører flere kommandoer, inkludert men ikke begrenset til skjermdump, keylogging og retur av samlede data.

Selv om det påfølgende påloggingsvinduet til betalingsterminalen tilsier at dette er spesielt myntet på «Pay MaQ» sin software så sier en talsmann for «Dr Web» at de ikke er sikre på at den ble utviklet spessielt for dette formålet.

Mysteriet fortsetter
Videre gir det ingen mening at dette skal være utviklet med «Pay MaQ» som primært mål, deres IndieGoGo kampanje klarte kun å samle inn 1600 Euro av deres mål på 60 000 Euro. Spørsmålet som gjenstår er hvorfor noen ville utvikle en trojaner for et system som ikke er på markedet.

– Etterforskningen pågår fremdeles, «C&C» (Command & Control journ.anm) serveren var hostet på en mistenkelig adresse som gikk 403 for noen dager siden. Kanskje lastet ofre ned malware fra den og den ble stengt ned etter at den fikk oppmerksomhet fra sikkerhetseksperter, siterer en ZDnet en talsperson fra «Dr. Web».

Ikke vanlig
Linux malware er ikke så vanlig som på andre plattformer, men dette er det andre tilfellet «Dr Web» avdekker denne uken. Den andre, Linux.Ekoms.1, tar skjermdumper hvert 30 sekund og sender de deretter til en server.

Det russiske sikkerhetsselskapet har til gode å forklare hvordan en Linux maskin kan bli infisert av disse to trojanerene.

Kilde:
ZDNet

Stikkord: bitcoin, linux, sikkerhet