De malware bespiedt gebruikers door middel van keylogging en heeft de mogelijkheid bestanden te manipuleren. Bovendien kunnen de aanvallers commando's uitvoeren op de besmette machines. Ten slotte maakt de malware het mogelijk een remote shell te openen. Gebruikers kunnen worden besmet via spear-phishing tactieken of het brute-forcen van bepaalde services.

Geen rootrechten nodig

Als Fysbis eenmaal binnen is test het de machine om te kijken wat er allemaal mogelijk is op de besmette computer en stuurt een rapport naar een C&C server. De malware hoeft daarbij geen gebruik te maken van rootrechten en kan zelfs op gebruikersniveau z'n werk doen en nieuwe modules ontvangen.

Russische geheime dienst

De onderzoekers van Palo Alto hebben ontdekt dat de malware is ontwikkeld door de beruchte APT 28 cyperspionage groep. Deze groep staat onder andere ook bekend als Sofacy en Sednit. Veel beveiligingsonderzoekers menen dat deze groep is gelinkt aan de Russische overheid.

De groep staat bekend om z'n aanvals- en spionagepraktijken op overheden en andere hooggeplaatste doelen waaronder de NATO, de EFF, de Poolse overheid maar ook de Nederlandse onderzoeksraad voor de veiligheid.

"Ondanks de gedachte (en het valse veiligheidsgevoel) dat Linux een hogere mate van bescherming heeft tegen kwaadwillenden, is Linux-malware wel degelijk aanwezig," aldus de onderzoekers van Palo Alto.

Lees ook: 5 gratis anti-malwarepakketten voor Linux en OS X