«Новый» вирус под линукс. Для дектопа ....

использует API Microsoft Graph

запуска ELF-бинарных файлов, замаскированных под PDF-файлы, в основном .

вредоносный дроппер на основе Go развертывает полезную нагрузку i386

полученые по почте

То есть никакого хакирства и социальной инженерии, а расчёт на олухов, чья почта способна экзекутить всё, что ей вышлют. Лох немамонт.

Новый вредонос GoGra для Linux использует API Microsoft Graph для обеспечения связи.

осуществляется путем обмана и запуска ELF-бинарных файлов, замаскированных под PDF-файлы

Цирк какой-то.

...для обеспечения связи.

Связи с чем?

И при чём тут «Астра»?

Ну, как известно, во все госы счас проталкивают Астру. Доже в поликлиники.

А там, для примера, врачи врядли будут заморачиваться, какое у файла расширение… А могут просто открыть..

Судя по публикациям, эта версия GoGra для Linux использует жестко закодированные учетные данные Azure Active Directory (AD) для аутентификации в облаке Microsoft и получения токенов OAuth2, что позволяет ему взаимодействовать с почтовыми ящиками Outlook через API Microsoft Graph передавая похищеную инфо.

API Microsoft Graph

Что это за ненужно и откуда оно взялось в линуксах?

на основе Go

через systemd

запись автозапуска XDG

Они специально собрали джекпот из ненужного чтобы побольше бесить своих жертв? Впрочем, выходит что на systemd-free и xdg-free системах оно не работает, так что мой комп в безопасности.

Могут, не могут. Тыб хоть запустил его на той астре для эксперимента

Не взлетит.

«Новый»

Он так называется или он старый?

обеспечивая постоянное присутствие в системе через systemd и запись автозапуска XDG

шах и мат секте обажателей

Ну, как известно, во все госы счас проталкивают Астру. Доже в поликлиники.
А там, для примера, врачи врядли будут заморачиваться, какое у файла расширение… А могут просто открыть..

1. На всех компах в организации должен стоять антивирус, даже если компы линуксячьи. Такие антивирусы вполне есть на рынке. https://astra.ru/ready-for-astra/compatible-software/ (по ссылке выбери «Категории ПО»=«Антивирусное ПО»)
2. /home и /tmp хорошо бы монтировать с noexec

Доже в поликлиники.

Это откуда такая инфа? Астра это военщина в первую очередь, у простых госов как правило есть из чего выбрать.

2. /home и /tmp хорошо бы монтировать с noexec

3. Пользователю в системе давать только минимально необходимые права, никаких рутовых есс-но)

Прямиком из поликлиники. Приходишь к доктору на прием, а там узнаваемая оболочка fly. И поликлиника это не простые госы. У них там свои интересные требования по медицинской тайне

Прямиком из поликлиники.

Есть еще всяческие медсанчасти подведомственные минобороне, может эти из таких? Требования к тайне != требования к дистрибутиву.

Из тех мед. учреждений с кем общаюсь я все выбирают сами из списка отечественных) И кстати многие с астрой не хотят связываться как раз потому что там прям уж ОЧЕНЬ всё с безопасностью выкручено - сильно лишнего (даже нужного) не запустишь :)

Нет, обычная районная поликлиника

Чуть ранее вышел вирус с похожим функционалом, и названием, под Винду. Там тоже способ слива инфо через майкрософтовское облако под Азуре.

Видимо пробуют расширить ариал обитания.

Как и в большинстве случаев с вируснёй, в том числе и под винду.

шахматисты подъехали

Какие-то слишком большие зависимости у этого вируса 😁

как будто-то это что-то плохое

это был сарказм лол

Ебилды будут?

не может быть

xdg-free

Такие GUI бывают?

Конечно. Иксы ни про какое xdg не знают. В данном случае, как я понял, этому вирусу требуется чтобы wm при запуске проверял xdg-шный автостарт. Подозреваю (но не проверял), что большинство авторов wm-ов про эту штуку и не думали. Мой wm - точно не поддерживает.

Подозреваю (но не проверял), что большинство авторов wm-ов про эту штуку и не думали. Мой wm - точно не поддерживает.

Его по умолчанию обрабатывают все DE. GNOME, KDE, XFCE и все их форки. Есть реализации независимые от DE и WM, которые могут ставиться в легковесных юзер-френдли дистрибутивах. Есть даже для фреймбуфера, судя по названию.

Ну эти то да, обрабатывают.

В любом дистрибутиве можно ставить любой WM.

Два чаю.

В поликлиниках видел только альты.

API Microsoft Graph

Go

systemd

Одного поля ягоды

Нет, обычная районная поликлиника

Нуу, возможно лично персональное решение конкретнго админа на месте :)

Кажется, ты не то слово в заголовке в кавычки взял. Это же не вирус, а банальный троян.

.xinitrc тоже перенес в хитрое место при сборке? Ты вот пытаешься выставить плюсом то чего в реальности не существует. Клоунада да и только

И в местной администрации тоже? Не, ну возможно один админ, да. Провинция все же. Не до жиру

xinitrc это не xdg

Ты вот пытаешься выставить плюсом то чего в реальности не существует. Клоунада да и только

Ладно, давай серьёзно.

замаскированных под PDF-файлы, в основном полученые по почте.

1) почтой я почти не пользуюсь

2) спам из неё не читаю

3) присланное в спаме тем более не запускаю

4) из гуи вообще ничего не запускаю, кроме того что сам настроил, pdf-ы открываю прописывая в баше evince "filename.pdf"

Так что шансы получить этот вирус у меня нулевые.

Но это не мешало мне заметить, что он пользуется кучей осуждаемых мной «технологий», что и послужило поводом для несколько шуточного, да, отзыва на него. Если хочешь придраться, то можешь так же заметить, что отсутствие у меня на компе go-компилятора никак не помешает запускать скомпилированные им вирусы.

xinitrc это не xdg

Это странный аргумент. Да, мячик это не скакалка, но и то и то предназначено для игры. Так и .xinitrc для вируса это вполне себе вектор скрытного закрепления в системе. То, что автор конкретного вируса выбрал systemd и xdg говорит только о спектре целей автора

1. почтой я почти не пользуюсь…

Да, и что? Значит вирус нацелен не лично на тебя. В evince нет rce? Тебя нельзя заинтересовать каким-то pdf?

Большинство офисных рабочих мест существует по сути для клерков. Которые читают почту/мессенджеры. И без открытия письма далеко не всегда ясно спам там или не спам. И даже открыв письмо без придирчивого изучения не всегда понятно что это фишинг. А писем ещё много и руководитель подгоняет

антивирус, даже если компы линуксячьи

Бесполезное говно, которое только тормозит и ничего полезного не делает.

Закрепиться можно кучей способов и я это не отрицал. Комментарий касался нелепости, в моих глазах, конкретно этого вируса. Точнее даже не вируса, а всяких сопутствующих штук. С вирусом то понятно, нацелен на обывателей и успешно делает что хочет.

Бесполезное говно, которое только тормозит и ничего полезного не делает.

Почему не делает? Мешает вот таким штукам распространяться. Антивирус удалит/заблокирует такой файл раньше, чем он будет запущен.

Фух, хорошо что у меня нет systemd