Gerdab.IR | گرداب

به گزارش گرداب، شرکت امنیتی آنتی‌ویروس روسی دکتر وب (Dr.Web) تهدیداتی که کاربران لینوکس را در برابر مجرمان سایبری تهدید می‌کند شناسایی کرده است. تروجان Linux.Ekocms.1 این قابلیت را دارد که بدون اجازه کاربر از محیط کاربری صدا و تصویر ضبط می‌کند.

در حال حاضر این بدافزار از خانواده بدافزارهای جاسوسی به شمار می‌آید و چهار روز است که شروع به کار کرده است. این تروجان در هر 30 ثانیه یک عکس از فعالیت‌های کاربر می‌گیرد. سپس این تصاویر گرفته‌ شده به‌طور موقت در یک پوشه با پسوند JPEG ذخیره شده که برای توسعه sst مورد استفاده قرار می‌گیرد. اگر این تصاویر گرفته‌شده با فرمت JPEG ذخیره نشود Ekocms فایل تصویر را با فرمت BMP ذخیره می‌کند.

در بیشتر مواقع فایل‌های تصاویر گرفته ‌شده در دو فایل مجزا ذخیره می‌شوند، اما اگر پوشه تصاویر وجود نداشته باشد، تروجان فایل تصاویر خود را می‌سازد.

پس از بررسی تروجان توسط کارشناسان امنیتی آن‌ها به این نتیجه رسیدند که از ویژگی‌های این تروجان این است که صدا را با فرمت WAV در یک فایل اولیه aat ذخیره می‌کند.

بدافزار به نحوی طراحی‌شده است که برای جستجوی فایل‌های اولیه با نام مشخص به صورت دوره‌ای توسعه داده شده است. فایل‌های aat و sst درواقع ذخیره کننده فایل‌های صدا و تصویر ضبط شده هستند و معمولاً فایل‌های ddt و kkt که توسط نویسندگان بدافزار ارائه شده‌اند که برای اهداف دیگر ارائه می‌شود.

اگر شما آنتی‌ویروس نصب‌شده بر روی لینوکس خود ندارید، می‌توانید به بررسی دو فایل زیر که در Linux.Ekocms جهت رفع این مشکل قرار دارد بپردازید.

– $HOME/$DATA/.mozilla/firefox/profiled
– $HOME/$DATA/.dropbox/DropboxCache

تصاویر گرفته‌شده توسط تروجان با فرمت JPEG ذخیره می‌شوند اگر در حین ذخیره‌سازی مشکلی به وجود بیاید فایل‌های گرفته شده با پسوند BPM ذخیره می‌شوند.

فایل‌های ذخیره شده بعد از بارگذاری روی سرور C&C که IP آدرس این بارگذاری به صورت hardcoded نوشته شده است در تروجان قرار می‌گیرند.

تمام اطلاعات به صورت رمزنگاری‌شده با Linux.Ekocms.1 به سرور ارسال می‌شوند؛ پس از آن شرکت لینوکس با انجام عملیات مهندسی معکوس شروع به بازیابی اطلاعات تروجان می‌کند.
به گزارش این موسسه امنیتی به‌رغم وجود ضبط صدا در زیرساخت‌های پایه؛ تروجان این قابلیت را دارد که در فعالیت‌های عادی فعال باشد.

در حال حاضر Linux.Ekocms یک ابزار قدرتمند شناسایی است که برای ایده گرفتن از کاربران لینوکس اجازه این کار را به خود می‌دهد.

تابه‌حال چگونگی تأثیرات این تروجان بر روی رایانه‌های لینوکس توسط این شرکت امنیتی شناسایی نشده است.