Casa > cibernético Notícias > Skidmap: New criptomoeda Miner Metas Usuários Linux
CYBER NEWS

Skidmap: New criptomoeda Miner Metas Usuários Linux

imagem Mineiros criptomoeda

Skidmap é um novo malware cryptomining (cryptominer) que usos carregável do kernel módulos (LKMs) esgueirar-se para sistemas Linux. O malware é capaz de esconder suas atividades maliciosas por exibir estatísticas de tráfego de rede falso.




De acordo com pesquisadores da Trend Micro, que tropeçou no Skidmap, o malware exibe a complexidade crescente das ameaças recentes de mineração de criptomoedas. O que faz o Skidmap se destacar é a maneira como carrega LKMs maliciosos para ocultar suas operações de mineração de criptografia. Os LKMs sobrescrevem ou modificam partes do kernel, o que torna o malware difícil de limpar. Em cima disso, O Skidmap também utiliza vários mecanismos de infecção e também é capaz de reinfectar hospedeiros que foram limpos.

Skidmap Cryptocurrency Miner: Alguns detalhes técnicos

Em termos de instalação, essas são as etapas que o malware segue:

1. O malware se instala por meio do crontab (lista de comandos executados em uma programação regular) em sistemas direcionados;
2. O script de instalação pm.sh baixa o binário principal “pc” (detectado pela Trend Micro como Trojan.Linux.SKIDMAP.UWEJX).

Uma vez que o binário é executado, as configurações de segurança do sistema diminuem significativamente. além disso, o malware Skidmap também garante uma maneira de obter acesso backdoor à máquina alvo, fazendo com que o binário adicione a chave pública de seus manipuladores ao arquivo authorized_keys, que contém as chaves necessárias para autenticação, Trend Micro relatado.

Skidmap também substitui o módulo pam_unix.so, que é responsável pela autenticação padrão do Unix, com uma versão maliciosa que aceita uma senha específica para qualquer usuário. Desta forma, o malware permite que os agentes de ameaças façam login como qualquer usuário na máquina.

O binário também é projetado para descartar a parte do minerador de acordo com a distribuição presente no sistema infectado - Debian Linux, CentOS,ou Red Hat Enterprise Linux.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/godlua-backdoor-cve-2019-3396/”] Godlua Backdoor Usa CVE-2019-3396 para usuários de destino do Linux

Além do mineiro criptomoeda, Skidmap também descarta os seguintes componentes:

  • Um binário “rm” falso - Um dos componentes contidos no arquivo tar é um binário “rm” falso que substituirá o original (rm é normalmente usado como comando para deletar arquivos). A rotina maliciosa deste arquivo configura um cron job malicioso que baixa e executa um arquivo. Essa rotina nem sempre será observada, Contudo, já que só seria realizado aleatoriamente.
  • kaudited - Um arquivo instalado como / usr / bin / kaudited. Este binário irá remover e instalar vários módulos de kernel carregáveis (LKMs) na máquina infectada. Para garantir que a máquina infectada não trave devido aos rootkits do modo kernel, ele usa módulos diferentes para versões específicas do kernel. O binário kaudited também descarta um componente watchdog que monitorará o arquivo minerador de criptomoeda e processará.
  • iproute - Este módulo conecta a chamada do sistema, getdents (normalmente usado para ler o conteúdo de um diretório) para esconder arquivos específicos.
  • netlink - Este rootkit simula as estatísticas de tráfego de rede (especificamente o tráfego envolvendo determinados endereços IP e portas) e estatísticas relacionadas à CPU (esconda o “pamdicks” processo e carga da CPU). Isso faria com que a carga da CPU da máquina infectada sempre parecesse baixa. Isso provavelmente fará com que pareça que nada está errado para o usuário (já que o alto uso da CPU é uma bandeira vermelha de malware de mineração de criptomoeda).

Em conclusão, Skidmap é um malware de criptomoeda bastante avançado que contém componentes para ajudá-lo a permanecer sem ser detectado. Sua aparência mostra que os mineiros podem não ser tão prevalentes, mas ainda assim representam grandes riscos para os usuários.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...