Desta vez falamos de um trojan malware para o sistema operativo Linux que pode levar à desativação do antivírus e com isso roubar passwords de root.
Malware para Linux pode não ser tão difundido quanto os esforços maliciosos direcionados para o sistema operativo Windows, mas nestes recentes tempos, o malware para Linux está a tornar-se tão complexo e multifuncional à medida que o tempo passa. Uma das razões que contribui para essa tendência é o mercado gaming — muitos jogos de computador já são suportados pelo SO atualmente.
De acordo com o website da companhia “Doctor Web”, a recente descoberta no Linux foi identificada pela sua solução de AV durante um largo periodo de tempo. O trojan striking-miner, é capaz de remover funcionários de uma organização do software de antivírus corporativo.
Este malware consegue instalar mineradores bitcoin nos sistemas das vítimas. O malware tem mais de 1000 LOCs e é mais complexo do que outros malwares Linux desta linha.
O Linux é conhecido por ser um sistema operacional muito mais seguro em comparação com outras alternativas desktop, mas está longe de ser perfeito.
O Trojan também instala um rootkit e outro tipo de malware que pode executar ataques DDoS (Distributed Denial of Service).
O malware batizado por Linux.BtcMine.174 quando executado, examina o device infetado e procura uma diretoria com permissões para conseguir descarregar outros módulos maliciosos do servidor (como diretórios temporários, etc.). Em seguida, o computador carrega uma das versões do backdoor do Linux.BackDoor.Gates.9. Ele permite que os hackers executem comandos no dispositivo infetado e realizem um ataque DDoS.
Depois disso, o malware procura por outros mineradores no sistema operativo e desativa-os, em seguida, remove todos os ficheiros e diretórios que rodam no antivírus do computador. Depois de o Linux.BtcMine.174 lançar seu próprio minerador projetado para a mineração de criptomoedas Monero. O vírus é atualizado com C2 a cada minuto.
O trojan é capaz de infetar sistemas Linux e escrever permissões em discos para aceder sistemas dos utilizadores.
O malware do Linux é capaz de desabilitar todos os programas antivírus instalados e roubar passwords de root. Ele tira proveito do infame exploit Dirty COW e pode fazer com que os criminosos tenham acesso completo ao sistema operacional.
Segundo o Dr. Web, “o Trojan é lançado e mantém persistente um mineiro Monero (XMR).
Num um loop infinito, o script verifica as atualizações no C2 para que ele possa descarrega-las e instalá-las, caso estejam disponíveis.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.