Korisnici Linuxa na meti misterioznog drive-by rootkita

Opisi virusa, 21.11.2012, 08:54 AM

Istraživači su otkrili maliciozni kod koji izgleda kao eksperimentalni rootkit za Linux čija je svrha infekcija računara odabranih korisnika u klasičnim drive-by napadima sa veb sajtova.

Otkriće novog virusa objavio je anonimni vlasnik sajta na Full Disclosure 13. novembra a postojanje rootkit-a koji se distribuira odabranim žrtvama putem neuobičajene forme napada ubacivanjem iFrame-a, potvrdili su do sada CrowdStrike i Kaspersky Lab.

Malver koga su u Kaspersky Lab-u nazvali „Rootkit.Linux.Snakso.a“ namenjen korisnicima najnovijeg 64-bitnog Debian Squezzy kernela (2.6.32-5).

Ambicija rootkit-a koji pokušava da se zakači za važne funkcije kernela i sakrije svoje prisustvo na sistemu koji pokušava da preuzme još uvek nije jasna, ali stručnjaci pretpostavljaju du su motivi konvencionalni a ne politički.

Dobra vest je da rootkit u ovoj fazi izgleda kao da se na njegovom kodu još uvek radi.Prema mišljenju analitičara CrowdStrike-a, Rusija, poznata po profesionalnim sajber kriminalcima, je najverovatnija zemlja poreklaovog malvera.

S obzirom da je rootkit korišćen za neselektivno ubacivanje iframe-ova u stranice koje servira nginx veb server, čini se da ovaj rootkit nije namenjen ciljanim napadima, kažu iz CrowdStrike. Međutim, nije isključeno ni da je rootkit deo takozvanih waterhole napada, u kojima se koriste sajtovi koji imaju vrlo određenu publiku.

Ovaj rootkit, iako još uvek u fazi razvoja, ukazuje na novi pristup u drive-by download napadima, i izvesno je da ćemo ovakve malvere viđati u budućnosti, predviđaju u Kaspersky Lab-u.