HomeDetectado malware para Linux usado para minerar Monero

Detectado malware para Linux usado para minerar Monero

janeiro 21, 2019 By Matheus Henrique

A Unit 42, da Palo Alto Networks, descobriu um malware desenvolvido por um grupo conhecido como Rocke. O vírus infiltra sistemas Linux e atacava diferentes serviços de segurança que poderiam combater as atividades do malware. O objetivo final do grupo é usar os computadores infectados para minerar Monero (XMR).

A análise de caso feita pela Unit 42 revela que os ataques bem-sucedidos lançados pela Rocke primeiro exploram as vulnerabilidades em alguns produtos digitais. Entre as principais falhas exploradas estão as encontradas no Apache Struts 2, Oracle WebLogic e no Adobe ColdFusion.

Uma vez que o computador é comprometido, o malware baixa um script chamado a7. Esse script conta com as seguintes funções:

  • Alcançar persistência através de cronjobs
  • Derrubar outros processos de mineração de criptomoedas
  • Acrescentar regras de iptables para bloquear outros malwares que estejam minando criptos
  • Desinstalação de produtos de segurança com base na nuvem
  • Baixar e executar o minerador de criptos UPX do blog(.)sydwzl(.)cn
  • Esconder processos do gerenciador de tarefas do Linux

Uma vez que todos os processos tenham sido iniciados, o malware utiliza o poder computacional do computador infectado para minerar Monero. A moeda está entre as favoritas dos hackers que utilizam cryptojacking. Isso acontece porque a natureza de preservação de privacidade do XMR dificulta bastante o rastreamento dos atacantes e para onde o dinheiro está indo.

Curiosamente, a análise nota que todas as soluções de segurança desabilitadas pelo malware são desenvolvidas por companhias chinesas. Os seguintes produtos foram confirmados como alvos do vírus:

  • Alibaba Threat Detection Service
  • Alibaba CloudMonitor
  • Alibaba Cloud
  • Tencent Host Security
  • Tencent Cloud Monitor

Considerando que o malware ataca principalmente serviços desenvolvidos pela Alibaba e Tencent, é especulado que o grupo Rocke, ou a sua maioria pelo menos, esteja localizado na China. Porém, vale lembrar que os ataques podem ser expandidos para o resto do mundo com facilidade.

As companhias afetadas já foram alertadas e instruídas a consertarem qualquer vulnerabilidade que possa ser explorada.

Veja detalhes sobre o relançamento da Waves Lab!

Tags: