A onda de malware infectando Linux chamou a atenção do VirusTotal - uma ferramenta projetada para caçadores de malware de propriedade do Google. O banco de dados do VirusTotal é essencial para qualquer pesquisador de segurança que deseja estar ciente das principais ameaças de malware do mercado.
O VirusTotal pode ser usado por qualquer pessoa que queira ver se os principais produtos antivírus detectam um arquivo suspeito carregado na ferramenta. Naturalmente, o produto é destinado ao uso por pesquisadores e analistas de segurança, mas, infelizmente, os hackers de chapéu preto têm aproveitado suas vantagens ultimamente. Em pouco tempo, foi descoberto que os cibercriminosos estavam testando seu malware contra programas antivírus antes de começar a lançá-lo à solta.
Embora o VirusTotal possa fornecer detalhes sobre vários arquivos maliciosos que podem comprometer o Windows, a ferramenta não mantém informações sobre malware Linux, provavelmente porque não é tão comum. Tudo o que ele pode oferecer em tais casos são informações básicas sobre os arquivos de amostra separados para Linux. Dados adicionais que geralmente são fornecidos para Windows não têm.
Isso pode ter dado certo no passado, mas nos últimos anos, um novo tipo de malware Linux voltado para servidores vulneráveis foi projetado.
Ataques Anteriores – Operação Mayhem
A Operação Mayhem foi um dos ataques mais populares contra servidores * nix (Unix e Linux). Um ataque anterior usou malware Linux Cdorked para distribuir malware do Windows para servidores da web.
Provavelmente devido às informações insuficientes, as empresas de antivírus responderam muito lentamente às amostras de malware do Linux. Na maioria dos casos, as amostras foram enviadas na forma de arquivos ELF.
Recentemente, a quantidade de arquivos ELF enviados está crescendo. Em apenas uma semana 35 000 arquivos suspeitos foram enviados ao VirusTotal. Para comparação - o número de arquivos do Microsoft Word para o mesmo período é 44 000.
Os problemas com a ferramenta da web para malware Linux serão resolvidos o mais rápido possível. “Mesmo que a popularidade do sistema operacional Windows entre os sistemas de usuário final médio signifique que os invasores têm se concentrado principalmente no desenvolvimento de malware para sistemas Windows, A maldade ELF é uma preocupação crescente,” um representante da empresa escreveu na terça-feira.
Pesquisadores com o Malware Must Die descobriram a maioria dos arquivos ELF maliciosos nos últimos dois anos. Eles também forneceram informações detalhadas sobre o malware Linux que explora a vulnerabilidade Shellshock no Bash, e os primeiros que avistaram o Mayhem.
Informações adicionais sobre arquivos ELF maliciosos aumentariam as taxas de detecção entre os produtores de produtos antivírus. “O malware Mayhem, com base na Ucrânia / Rússia e o cDorked ELF, apresentavam taxas de detecção muito baixas entre os mecanismos de antivírus,” disse o porta-voz da empresa.
Neste ponto, o malware foi detectado apenas por quatro programas AV. Depois de ELF- a consciência foi aumentada, 15 para 20 produtos antivírus começaram a reconhecê-lo.
Recentemente, um grupo de hackers chineses é suspeito de usar malware ELF em campanhas que visam servidores da web para lançar ataques DDoS.