Malware TrickBot está infectando sistemas Linux

Kernel Linux 5.9 RC 6 lançado
kernel linux

A plataforma de malware Anchor do TrickBot foi portada para infectar sistemas Linux e comprometer outros alvos de alto impacto e alto valor.

O TrickBot é uma plataforma de malware multiuso do Windows que usa módulos diferentes para executar várias atividades maliciosas, incluindo roubo de informações, roubo de senhas e entrega de malware.

Malware TrickBot está infectando sistemas Linux

O TrickBot é alugado por atores de ameaças que o usam para se infiltrar em uma rede e obter algo de valor. Em seguida, é usado para implantar ransomware e criptografar os dispositivos da rede como um ataque final.

No final de 2019, a SentinelOne e a NTT relataram uma nova estrutura do TrickBot chamada Anchor, que utiliza o DNS para se comunicar com seus servidores de comando e controle. Nomeado Anchor_DNS, o malware é usado em destinos de alto valor e alto impacto com informações financeiras valiosas.

Malware TrickBot está infectando sistemas Linux
No final de 2019, a SentinelOne e a NTT relataram uma nova estrutura do TrickBot chamada Anchor, que utiliza o DNS para se comunicar com seus servidores de comando e controle. Imagem: SentinelOne.

Historicamente, o Anchor é um malware do Windows. Recentemente, um novo exemplo foi descoberto e mostra que o Anchor_DNS foi portado para uma nova versão Linux chamada Anchor_Linux.

Malware Anchor_Linux

Além de atuar como um backdoor que pode soltar malware no dispositivo Linux e executá-lo, o malware também contém um executável Windows TrickBot incorporado.

De acordo com a Intezer, esse binário incorporado é um novo malware leve do TrickBot usado para infectar máquinas Windows na mesma rede. Para infectar dispositivos Windows, o Anchor_Linux copia o malware incorporado para os hosts Windows na mesma rede usando SMB e $IPC.

Além disso, essa versão Linux permite que os agentes de ameaças tenham como alvo ambientes não Windows com um backdoor. Como resultado, o backdoor permite que os invasores façam secretamente operações em dispositivos Windows na mesma rede.

Pior ainda, muitos dispositivos de IoT, como roteadores, dispositivos VPN e dispositivos NAS, são executados em sistemas operacionais Linux, o que pode ser um alvo potencial para o Anchor_Linux.

Assim, com essa evolução do malware TrickBot, é cada vez mais importante que os sistemas Linux e dispositivos de IoT tenham proteção e monitoramento adequados para detectar ameaças como o Anchor_Linux.

Fonte: Bleeping Computer

Novo malware para Linux usa API da Dogecoin

Conheça o Projeto Freta: um serviço que permite encontrar malware nos snapshots de memória do sistema operacional Linux

Kaiji, um novo malware para Linux

Acesse a versão completa
Sair da versão mobile