Reading Time: 2 minutes
Trojan no Linux pode desativar o antivírus e roubar passwords root.

Desta vez falamos de um trojan malware para o sistema operativo Linux que pode levar à desativação do antivírus e com isso roubar passwords de root.

Malware para Linux pode não ser tão difundido quanto os esforços maliciosos direcionados para o sistema operativo Windows, mas nestes recentes tempos, o malware para Linux está a tornar-se tão complexo e multifuncional à medida que o tempo passa. Uma das razões que contribui para essa tendência é o mercado gaming — muitos jogos de computador já são suportados pelo SO atualmente.

De acordo com o website da companhia “Doctor Web”, a recente descoberta no Linux foi identificada pela sua solução de AV durante um largo periodo de tempo. O trojan striking-miner, é capaz de remover funcionários de uma organização do software de antivírus corporativo.

linux-kernel-hacking

 

Este malware consegue instalar mineradores bitcoin nos sistemas das vítimas. O malware tem mais de 1000 LOCs e é mais complexo do que outros malwares Linux desta linha.

O Linux é conhecido por ser um sistema operacional muito mais seguro em comparação com outras alternativas desktop, mas está longe de ser perfeito.

O Trojan também instala um rootkit e outro tipo de malware que pode executar ataques DDoS (Distributed Denial of Service).

O malware batizado por Linux.BtcMine.174 quando executado, examina o device infetado e procura uma diretoria com permissões para conseguir descarregar outros módulos maliciosos do servidor (como diretórios temporários, etc.). Em seguida, o computador carrega uma das versões do backdoor do Linux.BackDoor.Gates.9. Ele permite que os hackers executem comandos no dispositivo infetado e realizem um ataque DDoS.

Depois disso, o malware procura por outros mineradores no sistema operativo e desativa-os, em seguida, remove todos os ficheiros e diretórios que rodam no antivírus do computador. Depois de o Linux.BtcMine.174 lançar seu próprio minerador projetado para a mineração de criptomoedas Monero. O vírus é atualizado com C2 a cada minuto.

O trojan é capaz de infetar sistemas Linux e escrever permissões em discos para aceder sistemas dos utilizadores.

O malware do Linux é capaz de desabilitar todos os programas antivírus instalados e roubar passwords de root. Ele tira proveito do infame exploit Dirty COW e pode fazer com que os criminosos tenham acesso completo ao sistema operacional.

Segundo o Dr. Web, “o Trojan é lançado e mantém persistente  um mineiro Monero (XMR).

Num um loop infinito, o script verifica as atualizações no C2 para que ele possa descarrega-las e instalá-las, caso estejam disponíveis.

 

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.