
Banloader malware werkt op Windows, OS X en Linux
En wordt amper gedetecteerd door virusscanners.
Beveiligingsonderzoekers van Kaspersky hebben verschillende .JAR-bestanden ontdekt die dienst doen als malwaredroppers. Trojan-Banker.Java.Agent, Trojan-Downloader.Java.Banload, en Trojan-Downloader.Java.Agent zijn drie malwarepakketten die zowel op Windows, OS X en Linux werken.

Banloader malware werkt op Windows, OS X en Linux
Beveiligingsonderzoekers van Kaspersky hebben verschillende .JAR-bestanden ontdekt die dienst doen als malwaredroppers. Trojan-Banker.Java.Agent, Trojan-Downloader.Java.Banload, en Trojan-Downloader.Java.Agent zijn drie malwarepakketten die zowel op Windows, OS X en Linux werken.
De drie pakketten zijn, volgens Dmitry Bestuzhev van Kaspersky, gebouwd door Braziliaanse cybercriminelen met het doel geld af te troggelen van slachtoffers. De pakketten fungeren als zogenaamde malware droppers. Het enige dat deze pakketten kunnen doen is andere malware downloaden en installeren.
Windows gebruikers lopen op dit moment meer gevaar
Hoewel de droppers crossplatform zijn is de malware die wordt binnengehaald op dit moment alleen nog beschikbaar voor Windows. Deze malware maakt, afhankelijk van de versie, PAC modificaties waardoor slachtoffers worden doorgestuurd naar nep-sites van banken terwijl andere malware complexere trucs uithaalt om geld te kunnen stelen van de slachtoffers.
Toch moeten ook Linux en Mac-gebruikers zich zorgen maken. "Het is slechts een kwestie van tijd voordat er banking-malware opduikt die draait op alle platformen. Er is geen enkele reden om aan te nemen dat zij dit niet zullen doen, de [crossplatform] droppers zijn pas het begin," aldus Bestuzhev.
Ook in Europa
De malware is inmiddels ook al in Europa en de VS ontdekt, al zijn de meeste besmettingen op dit moment nog te vinden in Brazilië. Gebruikers die de Java Runtime Environment geïnstalleerd hebben op hun computer kunnen worden geïnfecteerd. Op dit moment worden de malwarepakketten voornamelijk verspreid via phishing e-mails.
Volgens Bestuzhev zijn er op dit moment nog zeer weinig virus- en malwarescanners die deze droppers kunnen detecteren.
Mijn malware draait ook overal op. Niks bijzonders, maar je moet het er wel eerst op zien te krijgen. Zolang er onder Linux eigenlijk alleen met repositories wordt gewerkt die ik kan checken ben ik er niet zo bang voor. Bij windows is dat anders. MS update update alleen Microsoft software. Voor de rest worden de exe msi etc overal vandaan geharkt. Ja dan vraag je om moeilijkheden.
Meest destructieve is een fly-by malware infectie waar windows gebruikers zo onder lijden om vervolgens ransom ware tegen het lijf te lopen. Het is trekken aan een dood paard.
Om zulke malware onder Linux geïnstalleerd te krijgen in systeemmappen als /usr, /bin, /lib, /lib32, /lib64 en /opt moet je je sudo root-wachtwoord opgeven. Waardoor dat voor malware onder Linux wel een stuk moeilijker is om geïnstalleerd te krijgen dan onder Windows. Of Linux-malware moet zo geavanceerd zijn dat die aan de hand van toetsaanslagen je rootwachtwoord in handen krijgt. Maar om malware in je /home-map geïnstalleerd te krijgen en die ook nog eens automatisch opstart, heb je helemaal geen rootrechten nodig. Malafide java- en flashscripts in je browser zijn voldoende om je /home-map met malware besmet te krijgen. Het beste kun je in je plug-in beheer in je browser bij java en flash instellen op "Vragen om te activeren".
Dat is zo wie zo een goed advies. Java applets ook beter van niet,
maar malware in je home map installeren is nog niet opstarten. Het komt read only binnen. Daarna moet het nog executable worden gemaakt.
In je /home-map zit de submap .config/autostart. Malware kan daarin door malafide webscripts wel geïnstalleerd worden om vervolgens automatisch opgestart te worden. Tijdens het geniepige installeren van malware door een malafife script kan die ondertussen wel uitvoerbaar gemaakt worden.
Kan niet. Na het wegschrijven zal je nog een chmod +x malware moeten doen. Hiervoor heb je een shell nodig.
Maar die shellopdracht chmod +x kan zich wel in de installatieroutine van malware bevinden.
Nee dat kan niet, jij probeert nu met de ene malware de andere malware te installeren onder autostart. Je kan hooguit een file ergens neerzetten met toestemming van de gebruiker.
Misschien dat het je gaat lukken met een vulnerability en een browser exploit, maar daar hebben we het niet over.
dat hoor ik nu al jaren dat ik me voor linux zorgen moet maken. inmiddels is het het meest gebruikte os geworden en niet 1 werkende malware achterloos te installeren. voorlopig bewezen veiliger. geen antivirus nodig.
Inderdaad, allemaal paniek om niks.
linux variant van turla malware is jarenlang onopgemerkt gebleven
Maar waarschijnlijk ga je je beroepen op het achterloos te installeren. En dat wordt het natuurlijk een semantische discussie.
Overigens is ook Android gebaseerd op Linux. (en die moet je er wel bijtellen wil je op het meest gebruikte OS uitkomen): Android malware lijst[/url
Nu met werkende link naar actuele andriod malware lijst: [Link]
En hier gaat het al mis. Er is root toegang voor nodig. Linux gebruikers/beheerders werken niet als root.
system wide encryption doet wonderen tegen vreemde bootloaders.
dmv veracrypt/truecrypt voor windows en gewoon luks voor Linux,
maar voor linux vrees ik niet zo. omdat daar veel meer dingen zichtbaar zijn.
Reageer
Preview