A Unit 42, da Palo Alto Networks, descobriu um malware desenvolvido por um grupo conhecido como Rocke. O vírus infiltra sistemas Linux e atacava diferentes serviços de segurança que poderiam combater as atividades do malware. O objetivo final do grupo é usar os computadores infectados para minerar Monero (XMR).
A análise de caso feita pela Unit 42 revela que os ataques bem-sucedidos lançados pela Rocke primeiro exploram as vulnerabilidades em alguns produtos digitais. Entre as principais falhas exploradas estão as encontradas no Apache Struts 2, Oracle WebLogic e no Adobe ColdFusion.
Uma vez que o computador é comprometido, o malware baixa um script chamado a7. Esse script conta com as seguintes funções:
- Alcançar persistência através de cronjobs
- Derrubar outros processos de mineração de criptomoedas
- Acrescentar regras de iptables para bloquear outros malwares que estejam minando criptos
- Desinstalação de produtos de segurança com base na nuvem
- Baixar e executar o minerador de criptos UPX do blog(.)sydwzl(.)cn
- Esconder processos do gerenciador de tarefas do Linux
Uma vez que todos os processos tenham sido iniciados, o malware utiliza o poder computacional do computador infectado para minerar Monero. A moeda está entre as favoritas dos hackers que utilizam cryptojacking. Isso acontece porque a natureza de preservação de privacidade do XMR dificulta bastante o rastreamento dos atacantes e para onde o dinheiro está indo.
Curiosamente, a análise nota que todas as soluções de segurança desabilitadas pelo malware são desenvolvidas por companhias chinesas. Os seguintes produtos foram confirmados como alvos do vírus:
- Alibaba Threat Detection Service
- Alibaba CloudMonitor
- Alibaba Cloud
- Tencent Host Security
- Tencent Cloud Monitor
Considerando que o malware ataca principalmente serviços desenvolvidos pela Alibaba e Tencent, é especulado que o grupo Rocke, ou a sua maioria pelo menos, esteja localizado na China. Porém, vale lembrar que os ataques podem ser expandidos para o resto do mundo com facilidade.
As companhias afetadas já foram alertadas e instruídas a consertarem qualquer vulnerabilidade que possa ser explorada.
