ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Компания "Доктор Веб" сообщила о выявлении вредоносного ПО Linux.Ekoms.1, осуществляющего слежку за пользователями настольных систем на базе ядра Linux. В частности, Linux.Ekoms.1 пытается захватить конфиденциальную информацию или данные, которые можно использовать для шантажа, путём создания скриншотов каждые 30 секунд с их последующей отправкой на сервер злоумышленников.

Кроме того, Linux.Ekoms.1 поддерживает функциональность удалённого выполнения команд и загрузки на внешний сервер произвольных локальных файлов. В состав вредоносного ПО также входит код для скрытой записи звука, но данная возможность отключена по умолчанию. Взаимодействие с сервером производится с использованием шифрованного канала связи (AES, с шифрованием ключа AES при помощи открытого ключа на основе асимметричного алгоритма RSA).

После первого запуска в системе жертвы вредоносное ПО размещается под видом файлов $HOME/$DATA/.mozilla/firefox/profiled или HOME/$DATA/.dropbox/DropboxCache и отправляет сведения о новой поражённой системе на внешний сервер. Для автоматического запуска в системе вредоносное ПО создаёт файл $HOME/.config/autostart/%exename%.desktop. Так как Linux.Ekoms.1 нацелен в основном на поражение рабочих станций, размещение в системе, как правило, происходит в результате беспечного поведения пользователя, запустившего неизвестный исполняемый файл, установившего непроверенный пакет или использующего для открытия сомнительных сайтов необновлённый выпуск браузера.