O malware Sustes é um vírus personalizado que foi descoberto recentemente em uma infecção global. Ele infecta por meio de um mecanismo único e é projetado para carregar uma infecção de minerador de criptomoeda nos sistemas alvo. No momento, o impacto causado não pode ser determinado.
O Custom Sustes Malware Infecta Servidores Com Código Minerador
Um relatório de segurança publicado recentemente revelou uma nova ameaça identificada como o malware Sustes. É de interesse dos especialistas, pois o Sustes é inteiramente feito sob medida por um hacker desconhecido ou coletivo criminoso. O que é particularmente interessante é a maneira como é distribuído - não infecta diretamente por meio de um worm ou injeção direta. Os hosts da vítima até agora mostram que os alvos são principalmente servidores Linux e IoT. A infecção acontece através de tentativas de exploração e força bruta dos servidores. Um script está sendo lançado que irá descartar e executar outro software, incluindo um conta-gotas.
O procedimento inicia um padrão de comportamento complexo:
- As primeiras ações estão relacionadas a um proteção discrição técnica. Ele irá procurar aplicativos e serviços que podem ser encontrados nos sistemas de destino. Usando assinaturas de aplicativos, o mecanismo malicioso identificará se esse software está instalado.
- As conexões de rede serão avaliadas e aquelas conectadas a endereços específicos serão eliminadas.
- Quando esses dois comandos forem concluídos, o dropper de carga útil será iniciado e fará o download do malware Sustes para os hosts de destino.
- Uma guia cron será configurada para executar periodicamente o código de malware.
O malware Sustes personalizado baixará um arquivo de configuração de um servidor remoto com vários endereços de carteira. Isso faz parte do processo de implantação do minerador de criptomoedas que instalará um aplicativo baseado em Monero. A análise dos endereços levou os analistas de segurança a acreditar que os pools e proxies também foram implantados pelos hackers.
O nome Sustes vem do nome do processo que é uma versão renomeada e personalizada de um minerador popular usado por usuários comuns de computador. Ele seguirá o mesmo modo de operação de outros malwares relacionados, aproveitando os recursos do sistema disponíveis para realizar cálculos complexos. Quando forem reportados, os resultados serão reportados aos pools que recompensarão a moeda digital (na forma de tokens Monero) aos operadores.
A característica perigosa é o fato de que uma estimativa dos computadores infectados não pode ser feita neste momento. A única maneira de evitar as infiltrações é fortalecer a segurança da rede dos servidores Linux e IoT expostos em público. É muito possível que novos ataques sejam realizados com outras táticas de distribuição.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga:
acabei de pegá-lo em um pi de framboesa executando o Node-Red…
completamente minha culpa
oi Trevor, o que aconteceu?