Casa > cibernético Notícias > Skidmap: New criptomoeda Miner Metas Usuários Linux
CYBER NEWS

Skidmap: New criptomoeda Miner Metas Usuários Linux

imagem Mineiros criptomoeda

Skidmap é um novo malware cryptomining (cryptominer) que usos carregável do kernel módulos (LKMs) esgueirar-se para sistemas Linux. O malware é capaz de esconder suas atividades maliciosas por exibir estatísticas de tráfego de rede falso.




De acordo com pesquisadores da Trend Micro, que tropeçou no Skidmap, o malware exibe a complexidade crescente das ameaças recentes de mineração de criptomoedas. O que faz o Skidmap se destacar é a maneira como carrega LKMs maliciosos para ocultar suas operações de mineração de criptografia. Os LKMs sobrescrevem ou modificam partes do kernel, o que torna o malware difícil de limpar. Em cima disso, O Skidmap também utiliza vários mecanismos de infecção e também é capaz de reinfectar hospedeiros que foram limpos.

Skidmap Cryptocurrency Miner: Alguns detalhes técnicos

Em termos de instalação, essas são as etapas que o malware segue:

1. O malware se instala por meio do crontab (lista de comandos executados em uma programação regular) em sistemas direcionados;
2. O script de instalação pm.sh baixa o binário principal “pc” (detectado pela Trend Micro como Trojan.Linux.SKIDMAP.UWEJX).

Uma vez que o binário é executado, as configurações de segurança do sistema diminuem significativamente. além disso, o malware Skidmap também garante uma maneira de obter acesso backdoor à máquina alvo, fazendo com que o binário adicione a chave pública de seus manipuladores ao arquivo authorized_keys, que contém as chaves necessárias para autenticação, Trend Micro relatado.

Skidmap também substitui o módulo pam_unix.so, que é responsável pela autenticação padrão do Unix, com uma versão maliciosa que aceita uma senha específica para qualquer usuário. Desta forma, o malware permite que os agentes de ameaças façam login como qualquer usuário na máquina.

O binário também é projetado para descartar a parte do minerador de acordo com a distribuição presente no sistema infectado - Debian Linux, CentOS,ou Red Hat Enterprise Linux.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/godlua-backdoor-cve-2019-3396/”] Godlua Backdoor Usa CVE-2019-3396 para usuários de destino do Linux

Além do mineiro criptomoeda, Skidmap também descarta os seguintes componentes:

  • Um binário “rm” falso - Um dos componentes contidos no arquivo tar é um binário “rm” falso que substituirá o original (rm é normalmente usado como comando para deletar arquivos). A rotina maliciosa deste arquivo configura um cron job malicioso que baixa e executa um arquivo. Essa rotina nem sempre será observada, Contudo, já que só seria realizado aleatoriamente.
  • kaudited - Um arquivo instalado como / usr / bin / kaudited. Este binário irá remover e instalar vários módulos de kernel carregáveis (LKMs) na máquina infectada. Para garantir que a máquina infectada não trave devido aos rootkits do modo kernel, ele usa módulos diferentes para versões específicas do kernel. O binário kaudited também descarta um componente watchdog que monitorará o arquivo minerador de criptomoeda e processará.
  • iproute - Este módulo conecta a chamada do sistema, getdents (normalmente usado para ler o conteúdo de um diretório) para esconder arquivos específicos.
  • netlink - Este rootkit simula as estatísticas de tráfego de rede (especificamente o tráfego envolvendo determinados endereços IP e portas) e estatísticas relacionadas à CPU (esconda o “pamdicks” processo e carga da CPU). Isso faria com que a carga da CPU da máquina infectada sempre parecesse baixa. Isso provavelmente fará com que pareça que nada está errado para o usuário (já que o alto uso da CPU é uma bandeira vermelha de malware de mineração de criptomoeda).

Em conclusão, Skidmap é um malware de criptomoeda bastante avançado que contém componentes para ajudá-lo a permanecer sem ser detectado. Sua aparência mostra que os mineiros podem não ser tão prevalentes, mas ainda assim representam grandes riscos para os usuários.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo