В Сети зафиксированы попытки распространения нового троянского ПО "Tand of Thief", предназначенного для банковского мошенничества. Примечательной особенностью нового вредоносного ПО является то, что оно нацелено на поражение пользователей Linux.
Троянская часть Tand of Thief, напоминает распространяемые для Windows троянские пакеты на основе наборов Citadel и Blackhole, и включает в себя систему перехвата параметров входа в банковские online-сервисы и реализацию бэкдора для приёма управляющих команд и отправки накопленных данных злоумышленникам (в состав также входит прокси SOCKS5 и backconnect shell). Примечательной особенностью Tand of Thief является поддержка расширенных методов атаки, например, тронское ПО может вставлять контролируемое злоумышленником содержимое в открываемые пользователем легитимные web-страницы банковских систем.
В силу разнородности Linux-систем и затруднения распространения ПО через эксплуатацию уязвимостей (для каждой сборки дистрибутива необходимо использовать отдельный вариант эксплоита), для интеграции Tand of Thief на машины пользователей разработчиками трояна предлагается использовать методы социальной инженерии. Для управления работой трояна подготовлен специальный web-интерфейс, позволяющий злоумышленнику контролировать поражённые машины.
Разработчики пытаются продавать систему в хакерских форумах по цене 2000$. По заявлению продавцов, троян уже опробован в работе в 15 дистрибутивах Linux, включая Ubuntu, Fedora и Debian, и поддерживает 8 типов десктоп-окружений, в том числе GNOME и KDE. Перехват HTTP- и HTTPS-сессий реализован для Linux-сборок Firefox, Google Chrome, Chromium, Aurora и Ice Weasel. После активации троян блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. Для защиты от анализа в трояне предусмотрены средства противодействия отладке и запуску в изолированных и виртуальных окружениях.
Перевожу на русский: даже заплатив две штуки баксов, каккер не сможет установить свой фуфельный троян линуксоиду. Социальная инженерия - это умное название того, что в России принято называть лохотроном. То есть, только обманув и упросив пользователя самостоятельно запустить эту жалкую поделку, каккер может рассчитывать на проникновение "трояна" в систему. Можно ли придумать лучшую рекламу Линуксу? ;)
Знаете, я бы не был так категоричен в высказываниях по этому поводу. Я сам пользователь Linux системы, и не в восторге от этой новости. Сейчас в основном заражения происходят при простом открытии веб-страниц различных сайтов, и вирус может содержаться в самом коде страницы. и не обязательно вирус от рута запускать, если вирус запустится от имени обычного пользователя, в сочетании с кей-логгером(он считывает нажатия на клавиши клавиатуры), для злоумышленника открываются довольно широкие возможности, как шпионажа за пользователем, так и получения дополнительных прав в работе с удалённой машиной подключённой к глобальной сети.