Обнаружен новый, более скрытный вариант Linux-малвари BPFDoor, активной с 2017 года. Эта версия отличается более надежным шифрованием, а также механизмом связи с реверс-шеллами.
BPFDoor (он же JustForFun) представляет собой бэкдор, впервые обнаруженный специалистами около года назад, но активный как минимум с 2017 года. Малварь получила свое название благодаря применению Berkley Packet Filter (BPF) для получения инструкций при обходе ограничений брандмауэра входящего трафика.
До 2022 года бэкдор использовал шифрование RC4, bind шеллы и iptables для связи, а команды и имена файлов были жестко закодированы. Как теперь рассказывают исследователи Deep Instinct, обнаруженный теперь более новый BPFDoor использует другое шифрование, реверс-шеллы для коммуникаций, а все команды теперь отправляются C&C-сервером.
Таким образом, разработчикам вредоносного ПО удалось добиться улучшенной скрытности и обфускации, поскольку они, в частности, устранили зависимость от внешних библиотек.
Эксперты пишут, что основным преимуществом использования реверс-шеллов в новой версии является установка соединения зараженного хоста с управляющими серверами, что обеспечивает связь с серверами злоумышленников, даже если сеть жертвы защищена брандмауэром.
В свою очередь, удаление из BPFDoor жестко закодированных команд снизило вероятность того, что антивирусное ПО обнаружит малварь с помощью статического анализа (например, на основе сигнатур). Теоретически это также дает вредоносу большую гибкость и более разнообразный набор команд.
Deep Instinct отмечает, что на момент анализа новая версия BPFDoor не определялась как вредоносная ни одним из доступных антивирусных движков на VirusTotal, хотя впервые она появилась на платформе еще в феврале 2023 года.