Detectado malware para Linux usado para minerar Monero
Home Detectado malware para Linux usado para minerar Monero

Detectado malware para Linux usado para minerar Monero

By Melissa Eggersman - min. de leitura
Atualizado 08 junho 2021

A Unit 42, da Palo Alto Networks, descobriu um malware desenvolvido por um grupo conhecido como Rocke. O vírus infiltra sistemas Linux e atacava diferentes serviços de segurança que poderiam combater as atividades do malware. O objetivo final do grupo é usar os computadores infectados para minerar Monero (XMR).

A análise de caso feita pela Unit 42 revela que os ataques bem-sucedidos lançados pela Rocke primeiro exploram as vulnerabilidades em alguns produtos digitais. Entre as principais falhas exploradas estão as encontradas no Apache Struts 2, Oracle WebLogic e no Adobe ColdFusion.

Uma vez que o computador é comprometido, o malware baixa um script chamado a7. Esse script conta com as seguintes funções:

  • Alcançar persistência através de cronjobs
  • Derrubar outros processos de mineração de criptomoedas
  • Acrescentar regras de iptables para bloquear outros malwares que estejam minando criptos
  • Desinstalação de produtos de segurança com base na nuvem
  • Baixar e executar o minerador de criptos UPX do blog(.)sydwzl(.)cn
  • Esconder processos do gerenciador de tarefas do Linux

Uma vez que todos os processos tenham sido iniciados, o malware utiliza o poder computacional do computador infectado para minerar Monero. A moeda está entre as favoritas dos hackers que utilizam cryptojacking. Isso acontece porque a natureza de preservação de privacidade do XMR dificulta bastante o rastreamento dos atacantes e para onde o dinheiro está indo.

Curiosamente, a análise nota que todas as soluções de segurança desabilitadas pelo malware são desenvolvidas por companhias chinesas. Os seguintes produtos foram confirmados como alvos do vírus:

  • Alibaba Threat Detection Service
  • Alibaba CloudMonitor
  • Alibaba Cloud
  • Tencent Host Security
  • Tencent Cloud Monitor

Considerando que o malware ataca principalmente serviços desenvolvidos pela Alibaba e Tencent, é especulado que o grupo Rocke, ou a sua maioria pelo menos, esteja localizado na China. Porém, vale lembrar que os ataques podem ser expandidos para o resto do mundo com facilidade.

As companhias afetadas já foram alertadas e instruídas a consertarem qualquer vulnerabilidade que possa ser explorada.

Veja detalhes sobre o relançamento da Waves Lab!

Compartilhe este artigo
Categorias
Negócios
Etiquetas
Binance
Continuar a carregar
Usamos cookies para personalizar conteúdo e anúncios, fornecer recursos de mídia social e oferecer a você uma experiência melhor. Ao continuar navegando no site ou clicar em "Continuar", você concorda com o uso de cookies neste site.