Malware troca software de segurança por um minerador Monero

Confira os detalhes do anúncio de um novo Malware que troca software de segurança por um minerador Monero!

Alguns Pesquisadores de segurança descobriram uma nova ameaça e informaram que esse Malware troca software de segurança por um Monero. Confira os detalhes.


Embora seja um número reduzido, as ameaças voltadas para o Linux existem e sempre surge uma nova. E ultimamente, tem sido comum malwares voltados para a mineração de criptomoedas.
Malware troca software de segurança por um minerador Monero
Malware troca software de segurança por um minerador Monero

Malware troca software de segurança por um minerador Monero

Pesquisadores de segurança alertam que uma nova forma de malware tem como alvo servidores Linux e que atua desabilitando seus produtos de segurança para usar a máquina para minerar criptomoedas.

A Unidade 42 da Palo Alto Networks revela que encontrou amostras de malware usadas por um grupo chamado Rocke.

O grupo usa esse malware para se infiltrar em sistemas Linux e procurar cinco produtos diferentes de segurança na nuvem, que ‘poderiam’ bloquear mais atividades maliciosas nos hosts comprometidos.

A análise revela que os ataques bem-sucedidos lançados pelo Rocke primeiro exigem que eles explorem as encontradas em outras soluções de software que permitiriam a implantação do malware. Falhas no Apache Struts 2, no Oracle WebLogic e no Adobe ColdFusion estão sendo usadas.

Depois que o host é comprometido, o malware faz o download de um script chamado a7 no sistema e permite a persistência usando cronjobs.

Além disso, ele pode matar todos os outros processos de mineração executados no mesmo host, bloquear outro malware com regras do iptables, ocultar seu processo malicioso e desinstalar produtos de segurança em nuvem baseados em agente.

As soluções de segurança impactadas são todas desenvolvidas por empresas chinesas. Os seguintes produtos foram confirmados como afetados pelo malware:

  • Alibaba Threat Detection Service agent;
  • Alibaba CloudMonitor agent (Monitor de CPU e consumo de memória, conectividade de rede);
  • Alibaba Cloud Assistant agent (ferramenta para gerenciar automaticamente instâncias);
  • Tencent Host Security agent;
  • Tencent Cloud Monitor agent.

Sobre esse malware, a equipe de pesquisa de segurança afirmou o seguinte:

“Depois que os produtos de segurança e monitoramento na nuvem baseados em agente são desinstalados, o malware usado pelo grupo Rocke começa a exibir comportamentos maliciosos. Acreditamos que esse comportamento único de evasão será a nova tendência de malware que visa a infraestrutura de nuvem públicas.”

Considerando-se que os alvos de malware são principalmente produtos de segurança desenvolvidos pela Alibaba e pela Tencent, acredita-se que a maioria dos ataques seja realizada na China, embora também possa ser expandida para outras regiões.

Ambas as empresas já foram informadas dos ataques, para que possam providenciar uma solução e bloquear potenciais explorações.

O que está sendo falado no blog

Ajude a manter o Blog do Edivaldo - Faça uma doação

Se você gosta do conteúdo do Blog, você pode ajudar a manter o site simplesmente fazendo uma doação única, esporádica ou mensal, usando uma das opções abaixo:

Doação usando Paypal

Doação usando PagSeguro
Outras formas de ajudar a manter o Blog do Edivaldo