Detectado malware para Linux usado para minerar Monero

0 Comentários

A Unit 42, da Palo Alto Networks, descobriu um malware desenvolvido por um grupo conhecido como Rocke. O vírus infiltra sistemas Linux e atacava diferentes serviços de segurança que poderiam combater as atividades do malware. O objetivo final do grupo é usar os computadores infectados para minerar Monero (XMR).

A análise de caso feita pela Unit 42 revela que os ataques bem-sucedidos lançados pela Rocke primeiro exploram as vulnerabilidades em alguns produtos digitais. Entre as principais falhas exploradas estão as encontradas no Apache Struts 2, Oracle WebLogic e no Adobe ColdFusion.

Uma vez que o computador é comprometido, o malware baixa um script chamado a7. Esse script conta com as seguintes funções:

  • Alcançar persistência através de cronjobs
  • Derrubar outros processos de mineração de criptomoedas
  • Acrescentar regras de iptables para bloquear outros malwares que estejam minando criptos
  • Desinstalação de produtos de segurança com base na nuvem
  • Baixar e executar o minerador de criptos UPX do blog(.)sydwzl(.)cn
  • Esconder processos do gerenciador de tarefas do Linux
Leia também  Airbnb acaba de adquirir uma equipe de especialistas em Bitcoin e Blockchain

Uma vez que todos os processos tenham sido iniciados, o malware utiliza o poder computacional do computador infectado para minerar Monero. A moeda está entre as favoritas dos hackers que utilizam cryptojacking. Isso acontece porque a natureza de preservação de privacidade do XMR dificulta bastante o rastreamento dos atacantes e para onde o dinheiro está indo.

Curiosamente, a análise nota que todas as soluções de segurança desabilitadas pelo malware são desenvolvidas por companhias chinesas. Os seguintes produtos foram confirmados como alvos do vírus:

  • Alibaba Threat Detection Service
  • Alibaba CloudMonitor
  • Alibaba Cloud
  • Tencent Host Security
  • Tencent Cloud Monitor

Considerando que o malware ataca principalmente serviços desenvolvidos pela Alibaba e Tencent, é especulado que o grupo Rocke, ou a sua maioria pelo menos, esteja localizado na China. Porém, vale lembrar que os ataques podem ser expandidos para o resto do mundo com facilidade.

Leia também  BitPay lança cartão de débito de Bitcoin em parceria com a VISA

As companhias afetadas já foram alertadas e instruídas a consertarem qualquer vulnerabilidade que possa ser explorada.

Veja detalhes sobre o relançamento da Waves Lab!

Escreva um comentário

Investir é especulativo. Ao investir seu capital está em risco. Este site não se destina a uso em jurisdições em que a negociação ou os investimentos descritos são proibidos e só devem ser usados por essas pessoas e de maneiras que sejam legalmente permitidas. Seu investimento pode não se qualificar para a proteção do investidor em seu país ou estado de residência, portanto, conduza sua própria devida diligência. Este site é gratuito para você usar, mas podemos receber comissões das empresas que apresentamos neste site. Clique aqui para obter mais informações.