В июле российские компании начали в массовом порядке получать электронные письма с вложениями, заражёнными вирусом White Snake — он предназначен для кражи учётных данных пользователей, конфиденциальной информации, а также получения доступа к микрофонам и веб-камерам на компьютерах, пишет «Коммерсантъ».

Источник изображения: Robinraj Premchand / pixabay.com

Фишинговые письма на адреса российских компаний рассылаются от имени Роскомнадзора и содержат два файла вложений. В одном из файлов — уведомление, в котором утверждается, что на основе «выборочного мониторинга активности» якобы было установлено, что сотрудники компании посещают экстремистские ресурсы и сайты, распространяющие информацию от имени иноагентов. Соответствующие материалы, говорится в уведомлении, приложены во втором файле — их следует изучить и дать по ним пояснение, чтобы избежать административного и уголовного преследования. На самом деле во втором файле содержится ссылка на вредоносное ПО.

Отличительной особенностью кампании является использование «коммерческого» вируса — он продаётся на теневых форумах за $1,9 тыс. единоразово или по подписке за $140 в месяц. Организаторы атаки всячески пытаются заставить потенциальных жертв запустить вредонос, угрожая многомиллионными штрафами и делая пометку «проверено антивирусом» в конце письма, добавили в «Лаборатории Касперского».

Вирус White Snake целенаправленно собирает регистрационные данные через популярные браузеры, такие как Chrome и Firefox, программы вроде Outlook, Discord, Telegram и криптокошельки, рассказали в Positive Technologies. При этом атака на одного сотрудника и кража у него учётных данных позволяет получать доступ к устройствам других. Учитывая, что в большинстве компаний до сих пор не используют двухфакторной авторизации, злоумышленники могут получить постоянную точку присутствия на предприятии, а ущерб может составить от «нескольких миллионов до сотен миллионов рублей», уверены эксперты.

Эксперты по кибербезопасности из компании Uptycs доложили об обнаружении вредоносного ПО Meduza Stealer, предназначенного для «комплексной кражи данных». Вирус осуществляет мониторинг «активности пользователей в интернете, извлекая обширные массивы данных, связанные с браузерами».

Источник изображения: uptycs.com

Meduza также перехватывает данные браузерных расширений: криптовалютных кошельков, менеджеров паролей и средств двухфакторной авторизации. Во избежание обнаружения в момент обрыва соединения с сервером злоумышленника вирус прекращает работу. При обнаружении системы на территории СНГ и Туркменистана Meduza запускает механизм самоуничтожения.

При работе вирус перехватывает данные браузера, собирает информацию системного реестра Windows и даже отправляет на управляющий сервер список установленных на компьютер жертвы игр. Разработчики позаботились и об удобном управлении вредоносом: в веб-интерфейсе выводится информация о том, что Meduza удалось собрать на компьютере жертвы, а также средства для скачивания или удаления этих данных.

Объявления о продаже экземпляров Meduza Stealer обнаружены в даркнете. Покупка «лицензии» осуществляется через Telegram. Вредонос продаётся по подписке за $199 в месяц или в формате единовременной выплаты в $1199.

По компьютерам во всем мире активно распространяется вирус WispRider, сообщили эксперты Check Point Research. Заражение происходит через USB-накопители, а ответственность за эпидемию специалисты возложили на хакерскую группировку Camaro Dragon, известную также под названиями Mustang Panda, Luminous Moth и Bronze President — её связывают с Китаем.

Источник изображения: jacqueline macou / pixabay.com

Первое заражение новым вирусом предположительно произошло на некой международной конференции, проходившей в Азии. Один из участников мероприятия, которого назвали «нулевым пациентом», передал свой USB-накопитель другому участнику, чтобы тот скопировал себе файл презентации, но компьютер последнего был заражён, и накопитель вернулся к владельцу уже заражённым. Вернувшись в свою европейскую страну человек вставил накопитель в один из рабочих компьютеров в медицинском учреждении, что привело к заражению всей больничной сети.

Основной функции вируса присвоили название WispRider — впервые бэкдор, обеспечивающий хакерам доступ к компьютеру жертвы, был обнаружен специалистами Avast в конце прошлого года, но с тех пор вирус оброс новыми функциями. Он распространяется через USB-накопители при помощи программы автозапуска HopperTick, оставаясь невидимым для популярного в Южной Азии антивируса SmadAV. Вредонос осуществляет загрузку DLL-файла при помощи программных компонентов антивируса G-DATA Total Security, а также продуктов игровых разработчиков Electronic Arts и Riot Games — исследователи Check Point Research уже уведомили их об этом. Загружается также написанный на языке Go бэкдор TinyNote и вредоносный компонент прошивки маршрутизаторов HorseShell.

Источник изображения: sebastianperezhdez / pixabay.com

Когда к заражённому компьютеру подключается USB-накопитель, вирус обнаруживает новое устройство и создаёт в корне флешки несколько скрытых папок. Далее он копирует на накопитель загрузчик на Delphi с именем этого накопителя и его стандартным значком. С технической точки зрения ничего экстраординарного не происходит — это обычный сценарий, и распространение вируса происходит в основном за счёт человеческого фактора. Вместо своих файлов на диске жертвы видят исполняемый файл, который они бездумно запускают, заражая тем самым свою машину. WispRider действует одновременно как заражающий модуль и бэкдор для доступа к файлам пользователя, подгружая выполняющий обе функции DLL-файл — вредоносная активность запускается с заражённой машины, а если этого ещё не произошло, то производится собственно заражение. Вирус также распространяется по доступным сетевым ресурсам.

Для защиты от эпидемии WispRider эксперты предлагают следующие меры безопасности.

• Проводить на предприятиях разъяснительную работу среди сотрудников, повышая их осведомлённость о потенциальной угрозе, которую представляют USB-накопители из неизвестных или ненадёжных источников; а также поощрять осмотрительное поведение и не допускать подключение незнакомых накопителей к корпоративным устройствам.
• Строго и чётко регламентировать правила подключения USB-накопителей к устройствам в корпоративной сети вплоть до запрета их использования, если они не были получены из надёжных источников.
• Найти безопасные альтернативы USB-накопителям — облачные хранилища и зашифрованные файлообменные платформы. Это снизит зависимость от внешних устройств и частично нейтрализует связанные с ними риски.
• Проводить своевременное обновление антивирусного и другого ПО для обеспечения безопасности на всех устройствах, а также периодическое сканирование USB-накопителей на наличие вредоносного ПО.

В России активизировались вирусы-вымогатели LokiLocker и BlackBit, сообщает РБК со ссылкой на информацию от экспертов Лаборатории цифровой криминалистики компании F.A.C.C.T. (бывшая Group-IB). Эти вирусы не наносят ущерба компьютерам с интерфейсом на персидском языке (фарси).

Источник изображения: Pixabay

Первые атаки вируса LokiLocker были отмечены в странах Ближнего Востока, но происхождение вредоноса до сих пор остаётся неизвестным. В России параллельно с LokiLocker развернул деятельность его «близнец» BlackBit. Оба вируса шифруют файлы на машине и требуют выкуп в размере от $10 тыс. до $100 тыс. — киберпреступники предлагают выйти на связь через электронную почту или Telegram. Если через 30 дней выкуп не выплачивается, вымогатель удаляет с компьютера все файлы. При этом шифрование файлов не производится, если основным языком интерфейса на компьютере жертвы выбран фарси — персидский язык.

Вирусы LokiLocker и BlackBit с апреля 2022 года атаковали ресурсы не менее 62 компаний по всему миру, и 21 из них оказалась в России. Больше всех пострадали представители малого и среднего бизнеса, работающие в сферах строительства, туризма и розничной торговли. Эксперты расходятся во мнениях относительно происхождения вирусов: одни предполагают, что атаки осуществляются «под чужим флагом», чтобы запутать следы; другие же склонны считать, что кампанию организовали международные группировки киберпреступников, хотя первые версии вирусов и были созданы носителями персидского языка.

Специализирующаяся на вопросах кибербезопасности компания Cigent Technology готовится выпустить линейку твердотельных накопителей, один из которых, Cigent Secure SSD+, получит аппаратную защиту от вирусов-вымогателей.

Источник изображения: cigent.com

SSD получит дополнительный микроконтроллер безопасности, подключенный к основному контроллеру SSD от Phison. При помощи алгоритмов искусственного интеллекта этот компонент анализирует проходящие через SSD-контроллер данные на предмет признаков активности вирусов-вымогателей. Обнаружив такую активность, дополнительный чип блокирует накопитель и для доступа к файлам требует прохождения многофакторной аутентификации.

Процесс сканирования не влияет на скорость работы SSD, утверждает производитель, потому что микроконтроллер подключён к основному контроллеру, а не каналу данных. Технология работает небезупречно, признают в Cigent и даже допускают, что вирус может успеть зашифровать некоторые файлы до блокировки накопителя. Вероятны и некоторые сбои в работе алгоритмов машинного обучения, и если число ложных срабатываний окажется слишком высоким, сохраняется возможность динамически настроить чувствительность алгоритмов.

С другой стороны, предлагаемый метод защиты представляется производителю более эффективным, чем существующие решения, которые срабатывают уже после начала атаки, а не сразу. На начальном этапе Cigent Secure SSD+ сможет работать только как системный диск для Windows — поддержку Linux обещают реализовать в ближайшей перспективе. В продажу NVMe SSD поступит в мае, и он будет доступен в версиях на 480, 960 и 1920 Гбайт.

Исследователи в сфере кибербезопасности обнаружили новую версию вируса-вымогателя LockBit, предназначенную для работы на macOS — это первый случай, когда крупная хакерская группировка решила вторгнуться в экосистему Apple.

Источник изображения: Pete Linforth / pixabay.com

LockBit — один из наиболее известных вирусов-вымогателей, фигурировавший в нескольких крупных инцидентах. Первым свидетельством того, что одноимённая хакерская группировка начала экспериментировать с платформой macOS, стала публикация экземпляра в репозитории MalwareHunterTeam от 15 апреля. Вскоре после этого исследователи ресурса vx-underground выяснили, что вариант для компьютеров Apple появился не позднее 11 ноября 2022 года.

Как оказалось, бить тревогу ещё рано: вирус пока не готов для полномасштабной атаки, и его появление следует воспринимать скорее как декларацию о намерениях хакерской группировки начать работу по Apple. В существующем варианте это скорее вредонос для Windows, грубо портированный на macOS. При его распаковке в коде обнаружены строки с артефактами Windows, в том числе ссылки на файлы autorun.inf и ntuser.dat.log, но уже есть и переменная с именем apple_config. Один из экспертов также описал значительную часть кода как написанную для Linux, а впоследствии портированную под macOS. В подписи к файлу оказалось обозначение «ad-hoc», которое в «боевой» версии вируса будет заменено на краденный идентификатор разработчика Apple.

Источник изображения: apple.com

Специализирующиеся на вирусах-вымогателях группировки до настоящего момента не разрабатывали вредоносного ПО под macOS — их целями были организации и частные компании, чьи инфраструктуры составляют преимущественно рабочие станции под Windows. Однако присутствие устройств Apple в корпоративной среде постепенно увеличивается: по данным на 2021 год, испытывающие потребность в планшетах предприятия всё чаще закупают iPad, iPhone отвоевали уже около 50 % всех смартфонов в корпоративной среде, а «среднее проникновение» компьютеров под macOS на предприятиях составило около 23 %, а двумя годами ранее этот показатель был 17 %.

В Apple предвидели такой вариант развития событий и приняли некоторые меры защиты системы. Системные файлы macOS доступны только для чтения — даже при наличии root-доступа вредонос их изменить не сможет. А система TCC (Transparency, Consent, Control) обеспечивает дополнительную защиту важнейших каталогов. Это значит, что без дополнительных средств вирус не сможет зашифровать важные для пользователя файлы — ему нужна будет уязвимость в macOS или явное подтверждение доступа от пользователя. Проблема в том, что эти средства защиты пока не проверялись в полномасштабных атаках, и если хакеры начнут работать в полную силу, у них есть шанс найти какие-то бреши в безопасности.

Количество атак вирусов-вымогателей на промышленные предприятия в 2022 году увеличилось на 87 % в сравнении с предыдущим годом. Большинство вредоносных программ при этом атаковало производственный сектор, сообщает Bloomberg со ссылкой на доклад экспертов по кибербезопасности в компании Dragos.

Источник изображения: Fotis Fotopoulos / unsplash.com

Чаще всего киберпреступники нападали на ресурсы горнодобывающих компаний Австралии и Новой Зеландии, а также американские и европейские компании, специализирующиеся на возобновляемых источниках энергии. Усилились атаки на секторы энергетики, продовольствия, водоснабжения, электроснабжения и природного газа. Одной программы-вымогателя, говорится в докладе, оказывается достаточно, чтобы нарушить работу десятков тысяч систем, помогающих в управлении инженерными сетями по всему миру.

Угрозы для энергетического сектора и критических объектов инфраструктуры выросли после начала украинских событий в феврале 2022 года, хотя общий объём атак оказался меньше ожидаемого. Для предотвращения крупномасштабных инцидентов компаниям рекомендовали разработать эффективные планы реагирования, а также подготовить инструменты мониторинга инфраструктуры и безопасного доступа к системам, в том числе средства двухфакторной авторизации.

Несмотря на рост числа инцидентов, связанных с вирусами-вымогателями, в 2022 году их жертвы намного реже платили выкуп: $456,8 млн по сравнению с $765,5 млн в 2021 году, посчитали недавно в Chainalysis.

В минувшие выходные несколько тысяч вычислительных систем по всему миру были взломаны и заблокированы с помощью трояна-вымогателя ESXiArgs, широкое распространение которого стало возможным благодаря уязвимости в серверном программном обеспечении VMware двухлетней давности, сообщил ресурс Bloomberg.

Источник изображения: Pixabay

Согласно данным поисковой системы Censys, на которые ссылается ресурс Bleeping Computer, в результате взлома было скомпрометировано более 3200 серверов VMware по всему миру. Больше всего пострадали от вируса-вымогателя компьютерные системы во Франции, за которой следуют США, Германия, Канада и Великобритания.

Представитель VMware Дорин Руяк (Doreen Ruyak) сообщила ресурсу TechCrunch, что вариант программы-вымогателя, получивший название ESXiArgs, «по-видимому, использует уязвимость, идентифицированную как CVE-2021-21974». Она отметила, что исправления для этой уязвимости «были доступны клиентам два года назад в рекомендациях по безопасности VMware от 23 февраля 2021 года».

«Гигиена безопасности является ключевым компонентом предотвращения атак программ-вымогателей, и организации, которые используют версии ESXi, затронутые CVE-2021-21974, и еще не применили исправление, должны принять меры, как указано в бюллетене», — добавила Дорин Руяк.

Заражённые машины представляют собой небольшую часть из более чем 66 000 подключённых к интернету серверов, которые могут стать потенциальными целями, отметил Патрис Оффре (Patrice Auffret), основатель и гендиректор французской фирмы по кибербезопасности Onyphe SAS.

По словам экспертов по безопасности, остаётся неясным, есть ли связь этой кампании с атакой программы-вымогателя на сети британской фирмы ION Trading UK, застопорившей на прошлой неделе торговлю деривативами по всему миру и совершённой печально известной хакерской группировкой LockBit.

Поиск дистрибутивов популярных программ через Google всегда был сопряжён с некоторым риском, но в последние дни киберпреступники значительно активизировались — ссылки на ресурсы с вредоносными загрузками показываются в рекламном блоке над органической поисковой выдачей. Сама же Google видимых действий не предпринимает, пишет Ars Techinca со ссылкой на информацию от организации Spamhaus.

Источник изображения: Towfiqu / unsplash.com

По ссылкам в рекламе открываются сайты, с которых скачиваются поддельные установочные файлы таких известных программ как Adobe Reader, GIMP, Microsoft Teams, OBS, Slack, Tor, MSI Afterburner и Thunderbird. В реальности компьютеры заражаются вирусами семейств AuroraStealer, IcedID, Meta✴ Stealer, RedLine Stealer, Vidar, Formbook и Xloader. Ранее эти вредоносы распространялись через фишинговые кампании и спам, но за последний месяц киберпреступники облюбовали рекламную платформу Google Ads, демонстрирующую объявления в поисковой выдаче.

Вредоносы используют сложные механизмы виртуализации, что усложняет их обнаружение, и отправляют по нескольку HTTP-запросов на разные адреса, только один из которых принадлежит настоящему управляющему серверу — серверы же размещаются у общедоступных облачных провайдеров, включая Azure, Tucows, Choopa и Namecheap.

Представитель Google заявил, что киберпреступники часто используют сложных механизмы маскировки вредоносной активности, и компания за последние годы «запустила новые политики сертификации», направленные на проверку рекламодателей. О всплеске мошеннических действий в последние дни компания осведомлена — борьба с ними у неё в приоритете.

Британская Королевская почта, подвергшаяся на прошлой неделе кибер-атаке, из-за чего была временно прекращена отправка посылок и писем за пределы страны, утверждает, что личные данные её клиентов при взломе не были скомпрометированы.

Источник изображения: Pixabay

Гендиректор Royal Mail Саймон Томпсон (Simon Thompson) заявил во вторник на заседании Палаты общин британского парламента, что, согласно проведённому расследованию, утечки данных не произошло, хотя Управление Комиссара по информации Великобритании, которое регулирует вопросы конфиденциальности данных, было проинформировано о происшедшем инциденте.

«Если эта ситуация изменится, то мы, конечно, немедленно сообщим об этом клиентам и властям», — сказал Томпсон членам парламента. Он добавил, что компанию предупредили о том, что обсуждение даже незначительных или дополнительных деталей, касающихся инцидента, может нанести вред расследованию.

По словам Томпсона в ближайшее время следует ждать новостей по этому поводу, что предполагает появление возможности возобновления международных почтовых отправлений.

Как утверждает Bloomberg со ссылкой на информированные источники, за кибератакой на Королевскую почту стоит хакерская группировка LockBit, которая, используя вирус-вымогатель, блокирует работу компьютерных сетей, и требует за их разблокировку выкуп.

В результате атаки вируса-вымогателя семейства Lockbit Королевская почта Великобритании временно лишилась возможности обрабатывать международные отправления — в подвешенном состоянии оказались более полумиллиона посылок и писем. По версии следствия, в инциденте виновны российские хакеры, передаёт Telegraph.

Источник изображения: Mikhail Fesenko / unsplash.com

Вирус-вымогатель с сигнатурой Lockbit зашифровал файлы на компьютерах в инфраструктуре Королевской почты и вывел на их экраны сообщение с требованием выкупа за расшифровку файлов. При атаке был использован подвид вредоноса Lockbit Black — он заразил машины, используемые почтовым оператором для печати таможенных этикеток на отправляемой за границу корреспонденции, сообщили знакомые с ходом расследования источники. Злоумышленники также пригрозили опубликовать похищенные с компьютеров данные на сайте в даркнете.

Сообщение с требованием уплаты выкупа не только демонстрируется на мониторах заражённых машин, но и выводится на печать — это было замечено как минимум в одном распределительном центре, расположенном в североирландском городе Малласк близ столицы региона Белфаста. Расследование инцидента проводит Национальное агентство по борьбе с преступностью Великобритании (NCA), а в борьбе с его последствиями Королевской почте помогает Национальный центр кибербезопасности.

Один из первых снимков, полученных с помощью орбитального телескопа «Джеймс Уэбб» (James Webb Space Telescope), оказался инструментом для распространения вредоносного ПО, сообщили эксперты по кибербезопасности из компании Securonix. Кампанию по распространению вируса назвали GO#WEBBFUSCATOR.

Источник изображения: nasa.gov

Первым этапом атаки является фишинговое письмо с вложением формата Microsoft Office. В метаданных документа указан URL-адрес, при переходе по которому загружается обфусцированный файл со скриптом VBS, запускаемый, если в Word включена поддержка макросов. При исполнении макроса на компьютер загружается файл с копией фотографии с «Джеймса Уэбба», которая содержит вредоносный код формата Base64, маскирующийся под сертификат. По версии Securonix, ни одна антивирусная программа не сумела обнаружить вредонос в файле с изображением.

Вице-президент Securonix Аугусто Баррос (Augusto Barros) привёл две причины, по которым киберпреступники могли в качестве оружия выбрать фотографию с орбитального телескопа. Во-первых, снимки высокого разрешения отличаются большими размерами файлов и пропускаются антивирусами при проверке. Во-вторых, даже если антивирус сигнализирует о возможной угрозе, пользователь может не обратить внимания на предупреждение, поскольку снимок широко распространился в интернете.

Эксперты обратили внимание, что применяемый в атаке вредоносный код написан на созданном Google языке программирования Golang — его популярность в среде киберпреступников растёт из-за его поддержки разными платформами и того, что этот код труднее анализировать. А лучшая защита от атаки — не открывать почтовые вложения из неизвестных источников.

Специалисты «Лаборатории Касперского» изучили новую версию руткита CosmicStrand, которая обнаружилась в UEFI материнских плат от Gigabyte и ASUS на чипсете H81. Вредонос был выявлен на компьютерах пользователей в Китае, Вьетнаме, Иране и России.

Источник изображения: methodshop / pixabay.com

Платформа UEFI содержится в чипе на материнской плате, и никакие операции с подключаемыми накопителями на неё не влияют, напомнили в «Лаборатории Касперского». Это значит, что содержащееся в UEFI вредоносное ПО не так просто обнаружить антивирусом, а избавиться от него не помогает даже переустановка операционной системы. По той же причине заразить данную область тоже непросто — обычно к этому методу прибегают для атаки на системы, принадлежащие высокопоставленным лицам, а не широкому кругу рядовых пользователей.

Первые версии руткита CosmicStrand были обнаружены в 2016 году — тогда специалисты китайской компании Qihoo 360 предположили, что одна из жертв приобрела модифицированную материнскую плату у реселлера. Точных сведений о происхождении обновлённой версии вредоноса нет и сейчас. Тем не менее, расследование показало, что сегодня CosmicStrand поражает материнские платы производства Gigabyte и ASUS на устаревшем ныне чипсете H81 — он дебютировал ещё в 2013 году. Массовый характер заражения машин позволяет предположить, что оно производилось удалённо с использованием некой общей уязвимости.

Анализ вредоносного кода указывает на его китайское происхождение: были выявлены паттерны, присутствовавшие в обнаруженном ранее ботнете MyKings, который разворачивался на майнинговом оборудовании. Механизмы работы CosmicStrand тоже понятны не до конца, поскольку исследователям не удалось перехватить файл полезной нагрузки от командного сервера. Но на одной из машин был выявлен вредонос, предположительно связанный с руткитом — он создал в операционной системе пользователя с именем «aaaabbbb» и присвоил ему привилегии локального администратора.

IT-инфраструктура небольшого канадского городка Сейнт-Мэрис (провинция Онтарио) с населением 7500 человек подверглась атаке хакерской группировки LockBit. Заблокированы крупнейшие узлы городских систем — продолжают работать только базовые службы, такие как очистка воды и транспорт.

Источник изображения: discoverstmarys.ca

22 июля на сайте группировки LockBit в даркнете появились сведения о взломе официального сайта города, и в качестве подтверждения была опубликована часть скопированных и зашифрованных файлов. Мэр Сейнт-Мэриса Эл Стратди (Al Strathdee) сообщил по телефону журналистам The Verge, что для преодоления проблемы власти города обратились к группе экспертов, которые выявили причину и подготовили план дальнейших действий.

Он подтвердил, что после того, как часть городских систем оказалась заблокированной, мэрия получила от LockBit требование о выкупе, однако деньги пока выплачены не были. Канадское правительство не одобряет выплат выкупов кибервымогателям, но в Сейнт-Мэрисе делегировали принятие окончательного решения рабочей группе по инциденту.

На сайте LockBit опубликованы скриншоты с папками, соответствующими направлениям деятельности городских властей: финансы, здравоохранение и безопасность, очистка сточных вод, данные о собственности и общественные работы. Обычно группировка даёт жертвам время на размышление и при невыплате выкупа публикует похищенную информацию в интернете. Нанятые городом специалисты пытаются восстановить повреждённые данные из резервных копий.

Только в июне 2022 года хакеры LockBit взяли на себя ответственность за 50 инцидентов, связанных с вирусами-вымогателями, пишет Recorded Future. А канадский Сейнт-Мэрис оказался вторым городом, ставшим заложником киберпреступников чуть более чем за неделю: 14 июля аналогичной атаке подвергся городок Фредерик (население 15 000 человек) в американском штате Колорадо — негодяи потребовали $200 000.

Эксперты специализирующейся на кибербезопасности компании Intezer Labs сообщили об обнаружении вредоноса OrBit для Linux, который пока выявляется не всеми антивирусными системами, крадёт конфиденциальные данные и заражает запущенные в системе процессы.

Источник изображения: Pete Linforth / pixabay.com

Как уточнили в Intezer Labs, OrBit изменяет переменную окружения LD_PRELOAD, что позволяет ему управлять загрузкой библиотек и перехватывать вызовы функций. Вредонос собирает логины и пароли, а также вводимые в терминале команды, и предоставляет злоумышленникам доступ по SSH. До недавнего времени OrBit не помечался антивирусными системами как опасное ПО, однако разработчики систем защиты уже начали вносить его в свои базы.

Отличительными особенностями вируса отмечаются хранение похищенных конфиденциальных данных в файлах на самой машине, а также почти «герметичное» подключение к библиотекам на заражённом ПК, что обеспечивает OrBit стабильную работу, возможность избежать обнаружения и поддерживать работу SSH-бэкдора.

Ресурс BleepingComputer отметил растущую «популярность» системы Linux в среде киберпреступников. Недавно был обнаружен вредонос Symbiote, который также использует LD_PRELOAD для заражения. Похожим образом работает и вирус BPFDoor — он скрывается под именами распространённых демонов, из-за чего он ускользал от внимания экспертов целых пять лет.