Malware Crypto-Mining Limpa o Host Linux para Maximizar seus Benefícios

ad-midbar
ad-midbar
ad-midbar
ad-midbar

Malware Crypto-Mining Limpa o Host Linux para Maximizar seus Benefícios

  • Um novo script de mineração cryptocurrency malicioso está se escondendo bem em crontabs para assolar os sistemas Linux.
  • O novo script está detectando e excluindo alguns dos miners conhecidos do Linux, essencialmente limpando o host por si mesmo.
  • A base para o seu código é o KORKERDS, mas ele vem com melhorias sutis, mas cruciais, em comparação a ele.

Pesquisadores da Trend Micro descobriram um novo malware de mineração de criptografia que exclui um grande número de mineradores de moedas Linux conhecidos, de modo que os recursos do sistema host estejam disponíveis para si. O script usa o código de KORKERDS e Xbash, combinando traços de ofuscação e persistência. Este novo malware usa comandos crontabs para baixar e executar mais códigos maliciosos. O Cron é um agendador de tarefas baseado em tempo para o Linux, portanto, o script pode ser executado periodicamente sem ser afetado pelas reinicializações do sistema, baixando novamente o código de malware no caso em que ele foi detectado e excluído.

Comparado ao código KORKERDS que foi usado como base para este novo malware, ele não desinstala nenhum produto de segurança encontrado no sistema infectado e também não instala um rootkit. Em vez disso, esses componentes são incluídos em sua lista de eliminação, portanto, se o KORKERDS original já estiver no sistema, ele será interrompido. O minerador de criptomoedas baixado pelo script é uma versão personalizada do XMR-Stak, que suporta uma ampla variedade de CPUs e GPUs, portanto, os resultados de mineração são ideais. Esse novo script de malware não apenas mata todos os outros mineradores de moedas e malware, mas também localiza conexões e serviços relevantes para endereços IP específicos e os suspende também.

O script insere um único crontab para possibilitar a busca e a execução do código codificado BASE64. Em vez disso, o KORKERDS usa o crontab mais extensivamente e abertamente, então este novo script possui um nível mais alto de ocultação em sua operação, enquanto a propagação ainda é baseada no script KORKERDS Python. Embora sutis, as diferenças entre o KORKERDS e o novo script são fundamentais em sua eficiência e eficácia na rotina operacional. Remover todos os mineiros e malwares concorrentes ou, pelo menos, pará-los pode fazer com que esse script original pareça um mal melhor, mas isso não significa que o sistema infectado funcionará mais rápido sob sua regra.

A melhor prática contra esse tipo de infecção continua sendo a configuração de sistema em várias camadas para que, quando um script mal-intencionado chegar a um farm, possa ser isolado e contido em um grupo de sistemas na pior das hipóteses. Verificar regularmente as entradas do crontab e monitorar as tarefas que consomem recursos do sistema é outra maneira sólida de detectar possíveis infecções por malware. Para obter uma lista completa dos indicadores de comprometimento desse novo malware de mineração de criptografia, consulte o relatório de segurança detalhado da Trend Micro.

Você já foi infectado por malware de mineração de criptografia? Deixe-nos saber de sua experiência na seção de comentários abaixo, e não se esqueça de curtir e se inscrever em nossas redes sociais no Facebook e Twitter, seu portal para notícias diárias de tecnologia.



fonte

fundo do anúncio
fundo do anúncio
fundo do anúncio
fundo do anúncio

SEM COMENTÁRIOS