安全研究人员于近日相继披露,功能众多的恶意程序TrickBot锁定的攻击对象,已从Windows平台蔓延到Linux平台,而且可在同一个网络上感染Windows与Linux设备。
2016年现身的TrickBot,一开始只是个Windows上的金融木马程序,锁定各种国际银行以窃取用户的登录凭证,但作者不断强化它的能力,包括可在网络中横向传播,窃取存储于浏览器中的凭证、Cookies,同时它也是个恶意程序即服务(malware-as-a-service),可租借给其它黑客使用,成为传播勒索软件的媒介。去年底TrickBot出现了一个利用DNS与C&C服务器通信的Anchor_DNS变种,可用来针对知名企业发动攻击以窃取金融信息,同时也可作为POS与金融系统的后门,伺机而动;而最近则相继有研究人员发现了它的Linux版本。
Stage 2 Security与Intezer Labs,都在上个月发现了Anchor_DNS的Linux版本,并将它称为Anchor_Linux。
根据研究人员的分析,Anchor_Linux是个轻量型的后门,可在Linux设备上扔下及执行恶意程序,同时它也嵌入了Windows版的TrickBot执行文件,可通过SMB来感染同一网络上的Windows设备。
Anchor_Linux的现身对众多的Linux设备而言无疑是项警钟,因为这代表了涵盖路由器、VPN与NAS设备等采用Linux的各种IoT设备,都成为潜在的受害者,也提醒Linux设备制造商应加强防范。