Novo crypto-Miner ataca PC’s Linux, mata outros mineiros e anti-malware

Confira os detalhes da descoberta da Dr.Web: um novo crypto-Miner que ataca PC's Linux, mata outros mineiros e anti-malware!

A Dr.Web descobriu uma nova ameaça, o novo crypto-Miner ataca PC’s Linux, mata outros mineiros e anti-malware. Confira os detalhes!


A fabricante russa de anti-malware Dr.Web descobriu uma nova ameaça do Linux, incorporada por um Trojan projetado para funcionar como um mineiro de criptomoedas e como um substituto para alguns outros malwares desagradáveis como backdoors de DDoS e rootkits.
Novo crypto-Miner ataca PC's Linux, mata outros mineiros e anti-malware
Novo crypto-Miner ataca PC’s Linux, mata outros mineiros e anti-malware

Novo crypto-Miner ataca PC’s Linux, mata outros mineiros e anti-malware

A nova variedade Trojan chamada de Linux.BtcMine.174 pela equipe Dr.Web é um pesado shell script de 1.000 linhas que vem com vários módulos que serão baixados e gravados em qualquer pasta com permissões de gravação na maquina Linux infiltrada.

Uma vez que ele tenha conseguido descarregar as cargas extras de malware na máquina comprometida, o Linux.BtcMine.174 usará o utilitário nohup POSIX para se lançar como um daemon, redirecionando sua saída para um arquivo nohup.out para tornar a detecção mais difícil.

Depois de se instalar como um serviço, o Trojan faz o download de uma carga de cavalo de Tróia que possibilita aos seus mestres controlar a máquina comprometida e usá-la para executar ataques DDoS.

Porque depois de comprometer seus alvos Linux, o Trojan está rodando sob os privilégios do usuário atual, quase nunca uma conta de administrador.

O Linux.BtcMine.174 usa exploits como o Linux.Exploit.CVE-2016-5195 (conhecido como DirtyCow) e o Linux. Exploit.CVE-2013-2094 para escalar seus privilégios e assumir completamente a máquina Linux.

Assim que obtém privilégios de root no dispositivo infectado, começa a procurar por soluções AntiMalware, matando seus processos quando encontrados e indo ainda mais longe, desinstalando-os completamente usando um gerenciador de pacotes.

O cavalo de Tróia também caçará todos os mineiros de criptomoedas que encontrar na máquina, encerrando seus processos para evitar o compartilhamento dos recursos de computação do sistema.

Uma vez feito a “limpeza” do dispositivo de qualquer concorrente de mineração, o Linux.BtcMine.174 baixará um script de mineração do Monero (XMR) e começará a funcionar.

Após o início do processo de mineração, o malware se certificará de que ele continue funcionando o tempo todo, verificando seu heartbeat a cada alguns minutos em um loop infinito e reiniciando-o sempre que necessário.

Para tornar as coisas ainda piores para suas vítimas, o Trojan também se adicionará ao Autorun da máquina e baixará um rootkit capaz de ocultar arquivos em qualquer lugar do sistema e, mais importante, roubar “senhas digitadas pelo usuário para o comando su”.

Durante a etapa final do processo de infecção, o Trojan Linux.BtcMine.174 começa a procurar todos os hosts disponíveis na rede que o proprietário da máquina comprometida conectou no passado usando SSH e tenta se conectar e infectar cada um deles.

Mais detalhes sobre o funcionamento interno da nova cepa de Tróia que tem como alvo os sistemas Linux estão disponíveis no banco de dados de vírus da Dr.Web, enquanto uma lista completa de todos os indicadores de comprometimento está pronta para ser acessada no GitHub.

Muito do que foi dito pela Dr. Web esbarra nas barreiras de segurança comuns no Linux, o que pode evitar uma contaminação por essa ameaça. Mas para garantir maior segurança, é recomendável manter os sistemas sempre atualizados e ficar de olho no aumento de consumo de CPU e memória, sem uma causa normal.

O que está sendo falado no blog

Ajude a manter o Blog do Edivaldo - Faça uma doação

Se você gosta do conteúdo do Blog, você pode ajudar a manter o site simplesmente fazendo uma doação única, esporádica ou mensal, usando uma das opções abaixo:

Doação usando Paypal

Doação usando PagSeguro
Outras formas de ajudar a manter o Blog do Edivaldo



blog comments powered by Disqus