Как сообщила компания Microsoft, в последние полгода началось активное распространение вируса XorDDoS, предназначенного для Linux-систем. За полгода частота обнаружений вредоноса подскочила на 254%. Как видно из названия, его основным предназначением является организация ботнета для DDoS-атак, однако вирус может также играть роль шлюза для загрузки дополнительных зловредов.

В Microsoft обнаружили, что на некоторые заражённые XorDDoS машины впоследствии устанавливалось другое вредоносное ПО, в частности, Tsunami, который, в свою очередь, разворачивал криптомайнер XMRig. При этом XorDDoS напрямую не использовался для установки и распространения вторичных полезных нагрузок — он скорее играл роль пути для последующих атак.

Вирус XorDDoS, использующий для связи со своим сервером оператора XOR-шифрование, существует по меньшей мере с 2014 года. Своим долголетием он обязан способности относительно успешно скрываться от обнаружения антивирусами. Кроме того, он довольно неприхотлив — вирус заражает как системы на ARM-чипах (чаще всего оборудование Интернета вещей), так и серверы на x64-процессорах. Проникновение осуществляется методом брутфорса через SSH.