Alguns Pesquisadores de segurança descobriram uma nova ameaça e informaram que esse Malware troca software de segurança por um minerador Monero. Confira os detalhes.
- Como instalar o navegador LibreWolf no Linux via Flatpak
- Como instalar o cliente SSH PuTTY no Linux via Flatpak
- PuTTY tem uma vulnerabilidade de alta prioridade
Embora seja um número reduzido, as ameaças voltadas para o Linux existem e sempre surge uma nova. E ultimamente, tem sido comum malwares voltados para a mineração de criptomoedas.
Malware troca software de segurança por um minerador Monero
Pesquisadores de segurança alertam que uma nova forma de malware tem como alvo servidores Linux e que atua desabilitando seus produtos de segurança para usar a máquina para minerar criptomoedas.
A Unidade 42 da Palo Alto Networks revela que encontrou amostras de malware usadas por um grupo chamado Rocke.
O grupo usa esse malware para se infiltrar em sistemas Linux e procurar cinco produtos diferentes de segurança na nuvem, que ‘poderiam’ bloquear mais atividades maliciosas nos hosts comprometidos.
A análise revela que os ataques bem-sucedidos lançados pelo Rocke primeiro exigem que eles explorem as vulnerabilidades encontradas em outras soluções de software que permitiriam a implantação do malware. Falhas no Apache Struts 2, no Oracle WebLogic e no Adobe ColdFusion estão sendo usadas.
Depois que o host é comprometido, o malware faz o download de um script chamado a7 no sistema e permite a persistência usando cronjobs.
Além disso, ele pode matar todos os outros processos de mineração executados no mesmo host, bloquear outro malware com regras do iptables, ocultar seu processo malicioso e desinstalar produtos de segurança em nuvem baseados em agente.
As soluções de segurança impactadas são todas desenvolvidas por empresas chinesas. Os seguintes produtos foram confirmados como afetados pelo malware:
- Alibaba Threat Detection Service agent;
- Alibaba CloudMonitor agent (Monitor de CPU e consumo de memória, conectividade de rede);
- Alibaba Cloud Assistant agent (ferramenta para gerenciar automaticamente instâncias);
- Tencent Host Security agent;
- Tencent Cloud Monitor agent.
Sobre esse malware, a equipe de pesquisa de segurança afirmou o seguinte:
“Depois que os produtos de segurança e monitoramento na nuvem baseados em agente são desinstalados, o malware usado pelo grupo Rocke começa a exibir comportamentos maliciosos. Acreditamos que esse comportamento único de evasão será a nova tendência de malware que visa a infraestrutura de nuvem públicas.”
Considerando-se que os alvos de malware são principalmente produtos de segurança desenvolvidos pela Alibaba e pela Tencent, acredita-se que a maioria dos ataques seja realizada na China, embora também possa ser expandida para outras regiões.
Ambas as empresas já foram informadas dos ataques, para que possam providenciar uma solução e bloquear potenciais explorações.
O que está sendo falado no blog
- Gerenciador de fotos do Flickr: Instale Frogr no Ubuntu e seus derivados
- Como instalar o editor de áudio Audacity no Linux via Flatpak
- Entangle 2.0 lançado com várias melhorias e correções
- Descobertos 15 Aplicativos falsos de mapas para Android
- Personalizar as notificações do Ubuntu? Instale e use o NotifyOSD
- Como instalar o leitor de e-books Cool Reader no Ubuntu e derivados
- Porteus Kiosk 4.8.0 lançado – Confira as novidades e baixe
- Inkscape 1 está chegando depois de 15 anos! Confira as novidades!
- Malware troca software de segurança por um minerador Monero
- Burg no Ubuntu, Debian e derivados – Embeleze o menu de inicialização do sistema
- Como instalar o cliente ChessX no Linux via Flatpak para jogar xadrez