جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
خطر تروجان جدیدی به نام FakeFile رایانه‌های لینوکسی و مخصوصا سامانه‌های رومیزی را تهدید می‌کند.
منبع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات

خطر تروجان جدیدی به نام FakeFile رایانه‌های لینوکسی و مخصوصا سامانه‌های رومیزی را تهدید می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نویسندگان بدافزار رایانه‌های لینوکسی و به‌ویژه سامانه‌های رومیزی را با تروجان جدیدی با نام FakeFile هدف قرار داده‌اند که هم‌اکنون در حملات مختلف توزیع شده‌است. 

شرکت ضدویروس روسی Dr.Web این تروجان را در ماه اکتبر کشف کرده‌است. تحلیلگران بدافزار این شرکت می‌گویند این بدافزار در قالب پرونده‌های آرشیوی PDF، آفیس و OpenOffice گسترش می‌یابد.

تروجان توزیع openSUSE را هدف قرار نداده‌است. آلودگی زمانی شروع می‌شود که قربانی پرونده‌ها را باز می‌کند. تروجان با رونویسی خود در مسیر <HOME>/.gconf/apps/gnome-common/gnome-common شروع به فعالیت می‌کند سپس یک پرونده‌ decoy را باز می‌کند و از این رو FakeFile نام‌گذاری شده‌است.

همچنین تروجان  در پرونده‌های profile. و bash_profile. کاربر یک میانبر به خودش ایجاد می‌کند که به او اجازه‌ به‌دست‌آوردن ماندگاری بوت بین ریبوت‌های رایانه می‌دهد. 

جالب این است که تروجان دارای یک قانون خاص در کد منبع است که اگر توزیع لینوکس openSUSE باشد، مانع از آلودگی سامانه می‌شود. یک دلیل برای این کار می‌تواند باشد که نویسنده‌ بدافزار از توزیع openSUSE استفاده می‌کند اما این فقط یک حدس و گمان است چرا که این نظریه غیرممکن است که مورد بررسی قرار بگیرد.

FakeFile یک تروجان در پشتی تمام‌عیار است. زمانی‌که دستورات اولیه‌ انجام شد، سرگرمی اصلی شروع می‌شود و FakeFile با کارگزار دستور و کنترل خود برای دریافت دستورات بیشتر ارتباط برقرار می‌کند. 

براساس سرنخ‌هایی که در کد این تروجان پیدا شده، تروجان می‌تواند فعالیت‌های جدی همچون نام‌گذاری مجدد و حذف پرونده‌ها، ارسال یک پرونده یا کل پوشه به کارگزار دستور و کنترل، ارسال فهرستی از پرونده‌های پیداشده در یک پوشه به کارگزار دستور و کنترل و ایجاد پرونده و پوشه‌ جدید را انجام دهد. همچنین این تروجان می‌تواند پرونده‌ها و دستورات شِل را اجرا کند، مجوزهایی برای پرونده یا پوشه‌ خاصی دریافت و تنظیم کند، به فرایندها خاتمه دهد و خود را از سامانه‌ آلوده حذف کند.

FakeFile نیاز به دسترسی ریشه ندارد. یک مسئله آزاردهنده این است که FakeFile برای تمامی عملیات خود نیاز به دسترسی ریشه ندارد و می‌تواند با مجوزهای فعلی کاربر به‌خوبی کار کند.

تعداد تروجان‌هایی که بستر لینوکس را هدف قرار داده‌اند در سال گذشته به‌طور فوق‌العاده‌ای افزایش یافته‌است اما در بسیاری از موارد، این کارگزارهای لینوکسی و دستگاه‌های IoT که هدف قرار گرفته‌اند دارای سامانه عامل مشتق‌شده از لینوکس هستند.

شرکت‌های امنیتی به‌ندرت با تروجان‌هایی که محیط لینوکس رومیزی را هدف قرار داده‌اند، روبه‌رو می‌شوند. هنگام نگارش این پست، Dr.Web هنوز نمی‌داند این تروجان چگونه گسترش می‌یابد ولی هرزنامه اولین مظنون در این ماجرا است چرا که نویسندگان بدافزار معمولاً از هرزنامه و پرونده‌های مربوط به آفیس برای توزیع تروجان‌های در پشتی در سامانه‌های ویندوز و مک استفاده می‌کنند.

کد مطلب : 11906
https://aftana.ir/vdcg3y9q.ak9qz4prra.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی