domingo, 11 de novembro de 2018

Malware de Cryptomining usa Rootkit para se Esconder em Sistemas Linux Infectados




O Monero Miner se ofusca da maioria das ferramentas de monitoramento



Uma nova equipe de pesquisadores de segurança da Trend Micro descobriu uma nova cepa de malware de mineração criptografada voltada para computadores Linux e capaz de ofuscar a ferramenta de monitoramento de usuários e processos usando um rootkit.

Como não há maneira aparente pela qual o malware criptográfico consegue comprometer e infectar as caixas Linux, os pesquisadores da Trend Micro acham que os mal-intencionados por trás dessa cepa de malware conseguiram comprometer um aplicativo legítimo e usá-lo para instalar suas ferramentas maliciosas em alvos ' computadores.

"Nós acreditamos que esse vetor de infecção por malware de mineração criptografada é um plugin malicioso, de terceiros / não oficial ou comprometido (ou seja, software de streaming de mídia)", diz o relatório da Trend Micro.

"Instalar um implica conceder a ele direitos de administrador e, no caso de aplicativos comprometidos, o malware pode ser executado com os privilégios concedidos ao aplicativo. Não é um vetor incomum, já que outras ferramentas de malware de mineração de criptografia também usaram isso como um ponto de entrada "

A Trend Micro nomeou o malware de Moniner -mining Coinminer.Linux.KORKERDS.AB e o componente rootkit que ele usa para se esconder como Rootkit.Linux.KORKERDS.AA.

O malware de mineração Monero se esconde usando um componente rootkit, mas não consegue mascarar o aumento do uso de recursos

O coinminer se esconde à vista de todos sem que o usuário possa apontar porque a máquina Linux tem problemas de desempenho, já que a maioria das ferramentas de monitoramento do sistema dirão que todos os processos estão se comportando adequadamente, com os processos "kworkerds" sendo danificados. escondido pelo rootkit.

Isso significa que, embora o usuário possa ver que o uso da CPU do sistema está ocorrendo, ele não conseguirá identificar o processo responsável, que dificulta a tarefa de solucionar o problema e detectar / remover o malware.

"Embora o rootkit não consiga esconder o alto uso da CPU e as conexões feitas pelo mineiro de criptomoeda, ele melhorou sua furtividade apenas editando algumas linhas de código e adaptando o código ou as ferramentas existentes", disse a Trend Micro. "E com a capacidade do malware de se atualizar, esperamos que seus operadores adicionem mais funções para tornar seu malware mais lucrativo."

Em uma espécie de golpe de misericórdia para os vendedores de malware de mineração criptografada, a Trend Micro revelou um outro cryptominer malicioso   no mesmo dia (detectado como Coinminer.Win32.MALXMR.TIAOODAM), que está fazendo as rondas visando máquinas Windows usando uma variedade de métodos para ser o mais discreto possível, assim como sua contraparte focada no Linux.







Fonte

Até a próxima!!