Trojan infecta máquinas rodando Linux e Mac

Trojan infecta máquinas rodando Linux e Mac
Uma série de ataques contra servidores Linux foi detectada por pesquisadores da Check Point. Segundo eles, os ataques afetam principalmente países da Ásia e América Latina, inclusive o Brasil. O ataque implanta um backdoor que se esconde de TODOS os fornecedores de soluções de segurança. Segundo o relatório, o Trojan é chamado de “SpeakUp”. Então, confira neste post que um Trojan infecta máquinas rodando Linux e Mac.
Este é na verdade o nome de um dos seus centros de comando e controle. O trojan explora vulnerabilidades conhecidas em seis distribuições do Linux. No entanto, infelizmente, essas distros não foram listadas no relatório. E não para por aí. Além disso, o SpeakUp pode infectar dispositivos Macintosh. O ataque está ganhando força e busca inclusive máquinas hospedadas na AWS.

Propagação e origem

Área de propagação do SpeakUp

Segundo o relatório da Check point, o SpeakUp se propaga dentro da sub-rede infectada. Ele busca quaisquer outros ranges de IP associados. Assim, explora vulnerabilidades de execução remota de código. A identidade do ator por trás desse novo ataque ainda não está confirmada. Porém, o autor do SpeakUp deve ser o mesmo que desenvolveu o malware chamado Zettabit.

Embora o SpeakUp seja implementado de maneira diferente, ele tem muito em comum com o Zettabit, diz o relatório.  Zettabit atualmente é considerado um malware com origem na Rússia.

O vetor de infecção inicial tem como alvo uma vulnerabilidade relatada recentemente no ThinkPHP. Ele usa técnicas de injeção de comando para fazer o upload de um shell PHP que baixa e executa um backdoor Perl.

Etapas do ataque

O ataque é feito em três etapas. Em uma tentativa de atrapalhar a investigação de pesquisadores de segurança, o payload do segundo estágio é criptografado em base64 com salt. Para espanto dos pesquisadores da Check Point, a comunicação do C&C também foi codificada com a mesma combinação.

Os dados revelados contêm vários domínios C&C, endereços IP e outros parâmetros, juntamente com payload e módulos adicionais. O SpeakUp também equipa seus backdoors com o “i” (sic), um script python que permite ao backdoor varrer e a rede e infectar mais servidores Linux dentro de suas sub-redes internas e externas.

Leia o relatório completo da Check Point em:

[button href=”https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/” type=”btn-default” size=”btn-lg”]Relatório Trojan SpeakUp[/button]