القائمة الرئيسية

الصفحات

احذر! فيروس TrickBot يصيب الآن أجهزة لينكس ايضاً

احذر! فيروس TrickBot يصيب الآن أجهزة لينكس ايضاً

احذر! فيروس TrickBot يصيب الآن أجهزة لينكس ايضاً
اختار الفيروس سيئ السمعة TrickBot هذا الاسم لنفسه في عام 2019 عندما بدأ في تنفيذ أنشطة غير قانونية بما في ذلك سرقة بيانات الاعتماد وسرقة المعلومات الشخصية والتسلل الى دومين الويندوز ، كما عمل كبرنامج تنزيل لبرامج ضارة إخرى.

حتى الآن ، المعروف عن هذا الفيروس انه فيروس متعدد الوظائف مع العديد من الوحدات التي تؤثر على نظام التشغيل ، ولكن الآن تم نقل إحدى وحدات الفيروس المسماة "Anchor_DNS" لإصابة أجهزة لينكس . يستهدف Anchor_DNS عادةً الأنظمة عالية القيمة لسرقة المعلومات المالية القيمة.

اكتشف باحث أمني اسمه وايلون جرانج ، من شركة Stage 2 ، أن Anchor_DNS يتم نقله إلى إصدار لينكس يسمى "Anchor_Linux". ومع التطور ، يمكن لهذا الاصدار من الفيروس استهداف العديد من أجهزة إنترنت الأشياء ، بما في ذلك أجهزة التوجيه وأجهزة VPN وأجهزة NAS التي تعمل على لينكس.

Anchor_Linux


وفقًا لتحليل Vitali Kremez المتقدم من Intel ، يستخدم Anchor_Linux امر crontab الآتي للتشغيل كل دقيقة بمجرد التثبيت:

*/1 * * * * root [filename]

فيروس Anchor_Linux TrickBot 
تم اكتشاف أن الوحدة النمطية لا يمكنها أن تعمل فقط كنافذة خلفية لإصابة أجهزة لينكس عن طريق إسقاط البرامج الضارة ولكنها تحتوي أيضًا على ملف ويندوز TrickBot قابل للتنفيذ. تقول Intezer ، التي عثرت على عينة من الفيروس المسمى Anchor_Linux ، أنه "باب خلفي جديد خفيف مع القدرة على الانتشار إلى اجهزة ويندوز المجاورة باستخدام svcctl عبر SMB".


من المثير للاهتمام ، أنه مع Anchor_Linux ، يمكن للهكرز أن يستهدفوا البيئات التي لا تعمل بنظام ويندوز واصابة أجهزة ويندوز على نفس الشبكة. في حديثه إلى Bleeping Computer ، قال Kremez:

"تعمل البرامج الضارة كأداة مثابرة مستترة في بيئة UNIX تُستخدم كمحور لاستغلال ويندوز بالإضافة إلى استخدامها كمتجه هجوم أولي غير تقليدي للتصيد البريد الإلكتروني. وإنه يسمح للمجموعة باستهداف وإصابة الخوادم في بيئة UNIX (مثل أجهزة التوجيه) واستخدامها للدوران على شبكات الشركة ".

كيف تتحقق مما إذا كان نظامك مصابًا ببرنامج Anchor_Linux الضار؟
يقول باحثو الأمن أنه يمكن لمستخدمي Linux التحقق مما إذا كانت Anchor_linux قد استهدفت نظامهم من خلال البحث عن ملف "/tmp/Anchor.log". في حالة وجود مثل هذا الملف ، يوصى بأن يقوم مستخدمو Linux بمسح النظام بحثًا عن البرامج الضارة سيئة السمعة.

يعتقد الباحثون الأمنيون أن Anchor_Linux لا تزال في المراحل الأولية ، وسوف تستمر في التطور ، مما يجعلها أكثر ضررًا على الانظمة.


reaction:

تعليقات