Uma nova cepa de malware Linux foi detectada. Chamado de Linux / Shishiga, o malware pode se transformar em uma peça perigosa de malware. Linux / Shishiga foi oficialmente descoberto e examinado por pesquisadores da Eset.
“Entre todas as amostras de Linux que recebemos todos os dias, notamos uma amostra detectada apenas pelo Dr.Web – seu nome de detecção era Linux.LuaBot," Os pesquisadores escrevi. Depois que analisaram, eles descobriram que era de fato um bot escrito na linguagem de script leve Lua, mas na verdade é uma nova família, não relacionado a malware Luabot conhecido. portanto, o malware recebeu um novo nome – Linux/Shishiga. O malware usa quatro protocolos diferentes, SSH, Telnet, HTTP, e BitTorrent, e scripts Lua para modularidade.
relacionado: Proteger o seu dispositivo Linux a partir de Exploits e Malware
Sistemas direcionados pelo Linux/Shishiga
Linux/Shishiga tem como alvo sistemas GNU/Linux. O processo de infecção é iniciado por meio de uma técnica amplamente utilizada: credenciais fracas de força bruta usando uma lista de senhas. Outro malware, Linux/Moose, é conhecido por fazer isso de maneira semelhante. Contudo, Shishiga tem um recurso adicional para credenciais SSH de força bruta. Os pesquisadores encontraram vários binários para o malware para várias arquiteturas comuns para dispositivos IoT (como MIPS, BRAÇO, i686, PowerPC). Outras arquiteturas, Contudo, pode ser suportado também (SPARC, SH-4 ou m68k).
Descrição técnica do Linux/Shishiga
Shishiga é um binário embalado com a ferramenta UPX (compactador final para arquivos executáveis) que pode ter problemas para descompactá-lo, pois o malware adiciona dados no final do arquivo compactado. Uma vez descompactado, ele será vinculado estaticamente com a biblioteca de tempo de execução Lua e será despojado de todos os símbolos.
pesquisadores observaram que algumas partes do malware foram reescritas nas últimas semanas. Outros módulos de teste foram adicionados, também, e arquivos redundantes foram removidos.
Os pesquisadores também acreditam que a combinação de usar a linguagem de script Lua e vinculá-la estaticamente à biblioteca do interpretador Lua é intrigante. Essa combinação pode significar duas coisas – que os invasores herdaram o código e decidiram adaptá-lo a várias arquiteturas direcionadas. Ou eles escolheram esta linguagem porque é fácil de usar.
relacionado: Routers Linux.PNScan Malware Brute-Forças baseado em Linux
Definitivamente, existem algumas semelhanças com as instâncias do LuaBot, mas os pesquisadores acreditam que o Linux/Shishiga é diferente. Espera-se que o malware evolua e se torne mais difundido, mesmo que o número de vítimas seja baixo até agora. As constantes modificações de código são uma indicação clara de que o malware está sendo aprimorado.
Em conclusão, Linux/Shishiga pode parecer como a maioria dos malwares Linux, espalhando por meio de credenciais fracas de Telnet e SSH, mas a implementação do protocolo BitTorrent e dos módulos Lua o tornam um tanto único. BitTorrent foi usado em Hajime, a Verme inspirado em Mirai, e, portanto, pode se tornar mais popular nos próximos meses.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: