Un nou Troian pe Linux poate lua capturi de ecran și înregistra audio

Compania rusească de antivirus Doctor Web a detectat o nouă amenințare împotriva utilizatorilor Linux care pare a fi destinat pentru a ajuta hackeri să spioneze utilizatori. Troianul Linux.Ekocms.1 include caracteristici speciale care îi permit să preia capturi de ecran și să înregistreze audio.

Malware-ul descoperit acum patru zile salvează capturile de ecran într-un folder temporar în format JPEG folosind extensia .sst. Dacă respectiva captură nu poate fi salvată în format JPEG, Ekocms va încerca să o salveze în format BMP.

În mare parte din cazuri, capturile sunt salvate în aceleași două foldere, dar dacă folderele nu există, troianul le va crea la nevoie.

O examinare a Troianului a arătat că dezvoltatorii lucrează la o caracteristică proiectată să înregistreze audio și să salveze înregistrarea în format WAV într-un fișier cu extensia .aat în același folder temporar. Nu este activă în variantele curente ale troianului Ekocms, deși caracteristicile de înregistrare a sunetului există.

Malware-ul este proiectat să caute în mod periodic în folder-ul său temporar fișiere cu nume și extensii specifice. El caută pentru fișiere care se termină cu extensiile .aat și .sst, desemnate pentru stocarea de capturi și înregistrări, și fișiere care se termină cu extensiile .ddt și .kkt, care indică faptul că dezvoltatorii ar putea să integreze și alte modalități de spionaj.

Principalele foldere în care troianul stochează fișiere sunt:

  • $HOME/$DATA/.mozilla/firefox/profiled
  • $HOME/$DATA/.dropbox/DropboxCache

Implicit, Ekocms salvează toate fișierele de tip JPEG cu un nume care conține data când captura a fost efectuată. Dacă apare o eroare la salvarea fișierului, formatul BMP va fi utilizat.

Fișierele care corespund criteriilor sunt încărcate la intervale regulate pe un server printr-un proxy cu adresa IP fixată în codul-sursă al troianului. Toate datele trimise de către Linux.Ekocms.1 către server sunt criptate, deci uneltele de inginerie inversă au dificultăți la intepretarea operațiunilor malware-ului.

Cum acest malware afectează dispozitivele cu Linux încă nu a fost dezvăluit de către specialiști.

 

Sursă articol : TechWorm