Desta vez falamos de um trojan malware para o sistema operativo Linux que pode levar à desativação do antivírus e com isso roubar passwords de root.
Malware para Linux pode não ser tão difundido quanto os esforços maliciosos direcionados para o sistema operativo Windows, mas nestes recentes tempos, o malware para Linux está a tornar-se tão complexo e multifuncional à medida que o tempo passa. Uma das razões que contribui para essa tendência é o mercado gaming — muitos jogos de computador já são suportados pelo SO atualmente.
De acordo com o website da companhia “Doctor Web”, a recente descoberta no Linux foi identificada pela sua solução de AV durante um largo periodo de tempo. O trojan striking-miner, é capaz de remover funcionários de uma organização do software de antivírus corporativo.
Este malware consegue instalar mineradores bitcoin nos sistemas das vítimas. O malware tem mais de 1000 LOCs e é mais complexo do que outros malwares Linux desta linha.
O Linux é conhecido por ser um sistema operacional muito mais seguro em comparação com outras alternativas desktop, mas está longe de ser perfeito.
O Trojan também instala um rootkit e outro tipo de malware que pode executar ataques DDoS (Distributed Denial of Service).
O malware batizado por Linux.BtcMine.174 quando executado, examina o device infetado e procura uma diretoria com permissões para conseguir descarregar outros módulos maliciosos do servidor (como diretórios temporários, etc.). Em seguida, o computador carrega uma das versões do backdoor do Linux.BackDoor.Gates.9. Ele permite que os hackers executem comandos no dispositivo infetado e realizem um ataque DDoS.
Depois disso, o malware procura por outros mineradores no sistema operativo e desativa-os, em seguida, remove todos os ficheiros e diretórios que rodam no antivírus do computador. Depois de o Linux.BtcMine.174 lançar seu próprio minerador projetado para a mineração de criptomoedas Monero. O vírus é atualizado com C2 a cada minuto.
O trojan é capaz de infetar sistemas Linux e escrever permissões em discos para aceder sistemas dos utilizadores.
O malware do Linux é capaz de desabilitar todos os programas antivírus instalados e roubar passwords de root. Ele tira proveito do infame exploit Dirty COW e pode fazer com que os criminosos tenham acesso completo ao sistema operacional.
Segundo o Dr. Web, “o Trojan é lançado e mantém persistente um mineiro Monero (XMR).
Num um loop infinito, o script verifica as atualizações no C2 para que ele possa descarrega-las e instalá-las, caso estejam disponíveis.