Crypto Malware Spreading infecta maquinas Linux y elimina el antivirus

Los investigadores descubrieron un nuevo programa malicioso de minería criptográfica que infecta a los usuarios de Linux y otros usuarios de la red para minar la criptomoneda y deshabilitar los antivirus de los sistemas seleccionados

Los delincuentes cibernéticos también utilizan una familia de puerta trasera en este ataque que se usa con más frecuencia para realizar ataques DDOS para redes dirigidas basadas en Linux.

Además, el Malware se desarrolló con varios componentes y se mantiene en comunicación con los servidores C2 para descargar los nuevos módulos cuando sea necesario.

Para cargar módulos, sigue buscando la carpeta en el escritorio que contiene permiso de escritura para cargar su módulo malicioso.

Este malware se extendió con la intención principal de minar Monero (XMR) y se escribió como un script de shell que contiene más de 1,000 líneas de código.

Los investigadores de seguridad del Dr. web detectaron y denominaron este malware como Linux.BtcMine.174 y su minería de la criptomoneda de forma encubierta sin avisar a los usuarios.

Proceso de Infección Crypto-Malware

Inicialmente, una vez que el troyano instalado en el sistema comprueba si otros mineros los terminan, también el malware es capaz de explotar el número de vulnerabilidades de escalada de privilegios para poder iniciarse como raíz.

Basado en los hallazgos del investigador, este malware que usa 2 Linux explota CVE-2016-5195 (también conocido como DirtyCow ) y Linux.Exploit.CVE-2013-2094.

En este caso, "Dirty COW" es una vulnerabilidad de escalada de privilegios en el kernel de Linux y el troyano descarga los archivos de origen de DirtyCow de Internet y los compila en una máquina infectada.

Más adelante, el malware intenta encontrar el nombre de los servicios antivirus que incluye safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets y xmirrord.

Según el Dr. web, si el malware detecta un antivirus, el troyano no solo finaliza el proceso del antivirus, sino que también utiliza administradores de paquetes para eliminar sus archivos, así como el directorio en el que se instaló el producto.

Malware agrega la lista de ejecución automática a las descargas e inicia un rootkit en el dispositivo infectado que tiene la capacidad de robar contraseñas ingresadas por el usuario para el comando su y para ocultar archivos en el sistema de archivos, conexiones de red y procesos en ejecución.

Además, Trojan recopila datos en hosts a los que la máquina se había conectado previamente a través de SSH e intenta infectarlos y lanza un minero Monero (XMR) en el sistema.

Además, Malware sigue verificando el sistema que ejecuta minero cada vez y también tiene la capacidad de reiniciar el sistema.

Fecha actualización el 2021-11-23. Fecha publicación el 2018-11-23. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers
malware