بالاخره لینوکس هم مورد توجه بدافزار نویسان قرار گرفت. شرکت امنیتی روسی Dr Web، گزارش از یافتن یک تروجان سایه­ ای (Shadowy) داده است که برای دزدیدن پسوردها در پلتفرم های اوپن سورس و OS X فعال شده است.

جزئیات فنی فعالیت Wirenet و تکنیک انتشار آن هم اکنون نامشخص است، اما این شرکت گزارش داده است که این بدافزار پسوردهای مرورگرهایی نظیر اپرا، فایرفاکس، کروم، کرومیوم و همچنین نرم افزارهایی مثل Thunderbird، SeeMonkey، و Pidgin را هدف قرار می دهد.

در لینوکس این بدافزار پیش از تلاش برای ارتباط با یک سرور فرماندهی و کنترل (command and control) که در آدرس 212.7.208.65 با استفاده از کانال رمزگذاری AES میزبانی می شود، خود را در محل WIFIADAPT/~ کپی می کند. و بدین ترتیب حداقل راهی ساده برای بلوکه کردن ارتباط و هرگونه انتقال داده­ ها وجود دارد.

Dr Web در اوایل امسال با گزارش تروجان “فلش بک” که کاربران مک را در مقیاسی بی سابقه مورد حمله قرار داده بود برای خود نامی دست و پا کرد.

روشن نیست که قابلیت­ های چند پلت فرمی Wirenet باعث گسترش آن به سیستم ­های ویندوز می شود یا خیر؛ اما این احتمال وجود دارد که اجتناب این بدافزار از سیستم عامل ویندوز، ترفندی برای پنهان شدن آن از رادار شرکت های امنیتی بوده باشد.

بدافزارهای چند پلتفرمه نادر هستند اما بی سابقه نیستند. روش معمول آنها این است که خود را به جاوا متصل کرده و بدنبال قربانیان می گردند.

بدافزاری که بطور خاص برای دزدیدن اطلاعات در سیستم های لینوکس طراحی شده باشند تقریبا بی سابقه هستند اما بر اساس این کشف جدید، در آینده ممکن است بیشتر از آنها بشنویم.

دلیل روشنی وجود ندارد که نشان دهد این بدافزار از جاوا استفاده می کند. و به نظر تحلیلگر شرکت Dr Web، از جاوا استفاده نمی کند.

منبع