Експерти компанії Intezer Labs, що спеціалізується на кібербезпеці, повідомили про виявлення шкідливості OrBit для Linux, який поки виявляється не всіма антивірусними системами, краде конфіденційні дані і заражає запущені в системі процеси.
Як уточнили в Intezer Labs, OrBit змінює змінну оточення LD_PRELOAD, що дозволяє йому керувати завантаженням бібліотек та перехоплювати виклики функцій. Шкідливість збирає логіни та паролі, а також команди, що вводяться в терміналі, і надає зловмисникам доступ по SSH. Донедавна OrBit не позначався антивірусними системами як небезпечне програмне забезпечення, проте розробники систем захисту вже почали вносити його до своїх баз.
Відмінними рисами вірусу відзначаються зберігання викрадених конфіденційних даних у файлах на самій машині, а також майже «герметичне» підключення до бібліотек на зараженому ПК, що забезпечує OrBit стабільну роботу, можливість уникнути виявлення та підтримувати роботу SSH-бекдора.
Ресурс BleepingComputer відзначив зростаючу «популярність» системи Linux серед кіберзлочинців. Нещодавно було виявлено шкідливість Symbiote, який також використовує LD_PRELOAD для зараження. Схожим чином працює і вірус BPFDoor – він ховається під іменами поширених демонів, через що він вислизав від уваги експертів п’ять років.
