Malware troca software de segurança por um minerador Monero

Alguns Pesquisadores de segurança descobriram uma nova ameaça e informaram que esse Malware troca software de segurança por um minerador Monero. Confira os detalhes.


Embora seja um número reduzido, as ameaças voltadas para o Linux existem e sempre surge uma nova. E ultimamente, tem sido comum malwares voltados para a mineração de criptomoedas.

Malware troca software de segurança por um minerador Monero
Malware troca software de segurança por um minerador Monero

Malware troca software de segurança por um minerador Monero

Pesquisadores de segurança alertam que uma nova forma de malware tem como alvo servidores Linux e que atua desabilitando seus produtos de segurança para usar a máquina para minerar criptomoedas.

A Unidade 42 da Palo Alto Networks revela que encontrou amostras de malware usadas por um grupo chamado Rocke.

O grupo usa esse malware para se infiltrar em sistemas Linux e procurar cinco produtos diferentes de segurança na nuvem, que ‘poderiam’ bloquear mais atividades maliciosas nos hosts comprometidos.

A análise revela que os ataques bem-sucedidos lançados pelo Rocke primeiro exigem que eles explorem as vulnerabilidades encontradas em outras soluções de software que permitiriam a implantação do malware. Falhas no Apache Struts 2, no Oracle WebLogic e no Adobe ColdFusion estão sendo usadas.

Depois que o host é comprometido, o malware faz o download de um script chamado a7 no sistema e permite a persistência usando cronjobs.

Além disso, ele pode matar todos os outros processos de mineração executados no mesmo host, bloquear outro malware com regras do iptables, ocultar seu processo malicioso e desinstalar produtos de segurança em nuvem baseados em agente.

As soluções de segurança impactadas são todas desenvolvidas por empresas chinesas. Os seguintes produtos foram confirmados como afetados pelo malware:

  • Alibaba Threat Detection Service agent;
  • Alibaba CloudMonitor agent (Monitor de CPU e consumo de memória, conectividade de rede);
  • Alibaba Cloud Assistant agent (ferramenta para gerenciar automaticamente instâncias);
  • Tencent Host Security agent;
  • Tencent Cloud Monitor agent.

Sobre esse malware, a equipe de pesquisa de segurança afirmou o seguinte:

“Depois que os produtos de segurança e monitoramento na nuvem baseados em agente são desinstalados, o malware usado pelo grupo Rocke começa a exibir comportamentos maliciosos. Acreditamos que esse comportamento único de evasão será a nova tendência de malware que visa a infraestrutura de nuvem públicas.”

Considerando-se que os alvos de malware são principalmente produtos de segurança desenvolvidos pela Alibaba e pela Tencent, acredita-se que a maioria dos ataques seja realizada na China, embora também possa ser expandida para outras regiões.

Ambas as empresas já foram informadas dos ataques, para que possam providenciar uma solução e bloquear potenciais explorações.

O que está sendo falado no blog

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.