Un equipo de investigadores de seguridad de Trend Micro descubrió una nueva cepa de malware de minería de criptomonedas que se enfoca en las computadoras Linux y es capaz de ofuscarse tanto al usuario como a las herramientas de monitoreo de procesos usando un rootkit.
Debido a que no existe una forma aparente a través de la cual el malware criptográfico logre comprometer e infectar las cajas de Linux, los investigadores de Trend Micro creen que los malos actores detrás de esta variedad de malware han podido comprometer una aplicación legítima y usarla para instalar sus herramientas maliciosas en los objetivos.
"Consideramos que el vector de infección de este malware de extracción de criptomonedas es un complemento malicioso, de terceros / no oficial o comprometido (es decir, un software de transmisión de medios)", dice el informe de Trend Micro.
"Instalar uno implica otorgarle derechos de administrador, y en el caso de aplicaciones comprometidas, el malware puede ejecutarse con los privilegios otorgados a la aplicación. No es un vector poco común, ya que otras herramientas de malware de Linux cryptocurrency-mining también lo han utilizado como punto de entrada."
Trend Micro ha nombrado al malware Monero-mining Coinminer.Linux.KORKERDS.AB y al componente de rootkit que utiliza para ocultarse como Rootkit.Linux.KORKERDS.AA.
El malware de minería de Monero se oculta utilizando un componente de rootkit pero no enmascara el uso incrementado de recursos
El coinminer se oculta a simple vista sin que el usuario pueda señalar por qué la máquina con Linux tiene problemas de rendimiento, dado que la mayoría de las herramientas de monitoreo del sistema dirán que todos los procesos en ejecución se están comportando correctamente, con los procesos "kworkerds" que genera el malware. Oculto por el rootkit.
Esto significa que, si bien el usuario podrá ver que el uso de la CPU del sistema está pasando por el techo, no podrá identificar el proceso responsable, lo que hace que la tarea de solucionar el problema y detectar / eliminar el malware sea bastante difícil.
"Si bien el rootkit no logra ocultar el alto uso de la CPU y las conexiones realizadas por el criptomoneda, mejoró su sigilo con solo editar unas pocas líneas de código y reutilizar el código o las herramientas existentes", dijo Trend Micro. "Y con la capacidad del malware para actualizarse, esperamos que sus operadores agreguen más funciones para hacer que su malware sea más rentable".
En una especie de golpe de gracia otorgado a los vendedores de malware de minería de criptomonedas, Trend Micro reveló otro cryptominer malicioso el mismo día (detectado como Coinminer.Win32.MALXMR.TIAOODAM), que está realizando rondas dirigidas a máquinas Windows utilizando diversos métodos. ser tan sigiloso como sea posible al igual que su contraparte enfocada en Linux.
Fecha actualización el 2021-11-11. Fecha publicación el 2018-11-11. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: softpedia