Специалистами «Доктор Веб» обнаружена троянская программа, которая поражает компьютеры под управлением Linux. Первоначально программа Linux.BackDoor.Xunpes.1 была разработана для проведения кибератак на Bitcoin-банкоматы испанской компании Pay MaQ. Однако выяснилось, что вредоносная программа прекрасно подходит и против других Linux-устройств.
Linux.BackDoor.Xunpes.1 имеет некоторые сходства с обнаруженной чуть ранее троянской программой Linux.Ekoms.1, однако новая находка специалистов из «Доктор Веб» оказалось более сложной и опасной. Как сообщают в компании, вредоносная программа обладает широким функционалом: может загружать на зараженное устройство различные файлы, производить с файловыми объектами различные операции, создавать скриншоты. Также программа имеет в своем арсенале кейлоггер.
В состав Linux.BackDoor.Xunpes.1 входят два компонента: дроппер и бэкдор. Дроппер создан с помощью открытой среды разработки Lazarus для компилятора Free Pascal. При запуске вредоносной программы на экране появляется диалоговое окно, в котором содержатся упоминания об устройствах, которые предназначены для осуществления операций с криптовалютой Bitcoin. Кроме того, программа содержит три логина и пароля, которые подходят к данному окну авторизации. По мнению специалистов «Доктор Веб», эта информация, бывшая частью процесса отладки, могла быть попросту забыта авторами вредоносной программы и не удалена. Банкоматы Pay MaQ так и остались в проекте, не попав на рынок, потому решение хакеров создать вредоносную программу для несуществующих устройств выглядит странно.
Внутри дроппера в незашифрованном виде хранится второй компонент троянской программы — бэкдор, ответственный за основную вредоносную активность на инфицированном устройстве.
Бэкдор, созданный с помощью языка С, при запуске производит расшифровку конфигурационного файла, используя ключ, внедренный в код данного компонента программы. Параметры конфигурации бэкдора включают в себя перечень управляющих серверов и прокси-серверов, которые используются в процессе соединения, а также прочую информацию, необходимую для функционирования программы. После этого троянская программа соединяется с управляющим сервером и переходит в режим ожидания команд от преступников.
Представители Pay MaQ пока никак не прокомментировали находку специалистов из «Доктор Веб».