Специалисты «Доктор Веб» сообщают о новой троянской программе Linux.Lady.1, которая инфицируют незащищенные серверы, работающие с Redis, а также может распространяться самостоятельно.
По словам экспертов «Доктор Веб», троянская программа может определить внешний IP-адрес зараженного компьютера, провести атаку на другие машины, скачать и запустить на инфицированном устройстве программу для добычи криптовалюты.
Linux.Lady.1 была создана с помощью языка программирования Go, разработанного Google. Троянская программа пользуется множеством библиотек, которые были опубликованы на GitHub.
При проникновении в систему Linux.Lady.1 начинает передавать на командный сервер сведения о версии Linux, установленной на компьютере, информацию о процессорах и запущенных программах. После Linux.Lady.1 получает от сервера файл конфигурации, используя который она скачивает и запускает программу для добычи криптовалюты. Деньги, собранные таким образом, перечисляются на электронный кошелек, который принадлежит злоумышленникам.
Linux.Lady.1 может определить внешний IP-адрес зараженного компьютера, используя специальные сайты, ссылки на которые находятся в файле конфигурации.
Помимо этого, вредоносная программа может осуществлять атаки на другие компьютеры в сети. Для этого программа совершает попытки подключения к удаленным узлам через порт, который применяется хранилищем данных Redis. Подключение происходит без ввода пароля, поскольку злоумышленники рассчитывают на то, что система была неправильно настроена администратором. После нахождения уязвимой системы и установки соединения троянская программа помещает в планировщик задач cron компьютера скрипт Linux.DownLoader.196, который осуществляет скачивание и установку копии Linux.Lady.1 на скомпрометированный узел. Затем программа вносит ключ для подключения к атакуемому устройству по протоколу SSH в список авторизованных ключей.