Το Stantinko, ένα από τα παλαιότερα botnets κακόβουλου λογισμικού, ενημέρωσε το Linux malware του, αναβαθμίζοντας το trojan του ώστε να εμφανίζεται ως ο νόμιμος web server Apache (httpd) προκειμένου να κάνει την ανίχνευση πιο δύσκολη σε μολυσμένους hosts.
Οι αναβαθμίσεις, που εντοπίστηκαν από την εταιρεία ασφαλείας Intezer Labs, επιβεβαιώνουν ότι παρά την περίοδο αδράνειας – σε ότι αφορά τις αλλαγές κώδικα – το botnet Stantinko συνεχίζει να λειτουργεί ακόμη και σήμερα.
Το botnet Stantinko εντοπίστηκε για πρώτη φορά το 2012. Η ομάδα πίσω από αυτό το malware άρχισε να λειτουργεί διανέμοντας το Trojan Stantinko ως μέρος πακέτων εφαρμογών ή μέσω πειρατικών εφαρμογών. Καθώς το botnet μεγάλωσε και άρχισε να γίνεται πιο κερδοφόρο, ο κώδικας του εξελίχθηκε. Μια σημαντική ενημέρωση ανακαλύφθηκε το 2017 όταν η εταιρεία ασφαλείας ESET διαπίστωσε ότι το Stantinko χρησιμοποίησε κάποιες ειδικές εκδόσεις του malware της για συστήματα Linux.
Η τελευταία έκδοση του Linux malware του Stantinko εντοπίστηκε το 2017, με αριθμό έκδοσης 1.2. Αλλά σε μια έκθεση που κυκλοφόρησε σήμερα και κοινοποιήθηκε στο ZDNet, η Intezer Labs είπε ότι ανακάλυψαν πρόσφατα μια νέα έκδοση του Linux malware του Stantinko, με αριθμό έκδοσης 2.17 – ένα τεράστιο άλμα από την προηγούμενη γνωστή έκδοση.
Ωστόσο, παρά το τεράστιο χάσμα μεταξύ των δύο εκδόσεων, η ομάδα της Intezer σημειώνει ότι η νέα έκδοση είναι στην πραγματικότητα πιο λιτή και περιέχει λιγότερα χαρακτηριστικά από την παλαιότερη έκδοση, το οποίο είναι περίεργο.
Ένας λόγος πίσω από αυτήν την περίεργη κίνηση είναι ότι η συμμορία του Stantinko θα μπορούσε να έχει αφαιρέσει όλα τα κομμάτια από τον κώδικα της και να άφησε μόνο τα χαρακτηριστικά που είναι απαραίτητα και χρησιμοποιούν καθημερινά. Αυτό περιλαμβάνει τη δυνατότητα του proxy, που εξακολουθεί να υπάρχει στη νεότερη έκδοση, και είναι κρίσιμη για τις λειτουργίες των επιθέσεων brute-force.
Ένας άλλος λόγος μπορεί επίσης να είναι ότι η συμμορία του Stantinko προσπαθούσε να μειώσει το δακτυλικό αποτύπωμα του malware στα antivirus. Λιγότερες γραμμές κώδικα σημαίνει λιγότερο κακόβουλη συμπεριφορά που πρέπει να εντοπιστεί.
Και η Intezer σημειώνει ότι το VirusTotal έδωσε ένα πολύ χαμηλό ποσοστό ανίχνευσης στην νεότερη έκδοση του Stantinko, λέγοντας ότι ήταν σχεδόν μη ανιχνεύσιμο.
Παριστάνει τον web server Apache
Επιπλέον, οι χάκερ του Stantinko φαίνεται να τροποποίησαν το όνομα της διαδικασίας που χρησιμοποιεί το malware Linux, επιλέγοντας το httpd δηλαδή το όνομα που χρησιμοποιείται συνήθως από τον πιο διάσημο web server Apache.
Αυτό έγινε προφανώς για τους ιδιοκτήτες των server, θέλοντας να μην εντοπίσουν το malware σε μια τακτική οπτική επιθεώρηση, καθώς ο web server Apache συχνά περιλαμβάνεται από προεπιλογή σε πολλές διανομές Linux και αυτή η διαδικασία εκτελείται συνήθως σε συστήματα Linux που γενικά μολύνει το Stantinko.
Όπως και να έχει, οι διαχειριστές των συστημάτων Linux πρέπει να συνειδητοποιήσουν ότι καθώς το λειτουργικό σύστημα Linux διαδίδεται συνεχώς στα εταιρικά περιβάλλοντα, όλο και περισσότερες συμμορίες malware θα αρχίσουν να στοχεύουν το Linux.
