in

Kaiji, um novo malware para Linux

O malware é bastante simples.

Kaiji, um novo malware para Linux

Na semana passada, o popular pesquisador de segurança MalwareMustDie e os especialistas do Intezer Labs detectaram um novo malware chamado Kaiji, que está alvejando dispositivos IoT através de ataques de força bruta SSH.

O código malicioso foi projetado para direcionar servidores baseados em Linux e dispositivos da Internet das Coisas (IoT) e usá-los como parte de um botnet DDoS.

Kaiji, um novo malware para Linux

O malware Kaiji foi escrito do zero na linguagem de programação Go.

A análise publicada pela Intezer diz:

No final de abril, identificamos uma nova campanha de botnet com origens chinesas definitivas, visando servidores e dispositivos de IoT por meio de força bruta SSH. Enquanto a maioria dos invasores obtém seus implantes de fontes populares e bem testadas, como código aberto (por exemplo, Mirai) ou conjuntos de ferramentas de mercado negro (por exemplo, BillGates), esse botnet utiliza seu próprio implante personalizado, que o MalwareMustDie nomeou Kaiji com base em um dos nomes de função. O botnet foi construído do zero usando a linguagem de programação Golang, o que é raro no cenário de botnet da Internet das Coisas.

A botnet Kaiji não utiliza explorações para se espalhar; em vez disso, realiza ataques de força bruta contra o root de dispositivos IoT e servidores Linux que deixaram sua porta SSH online.

Depois que o malware obtém acesso a uma conta root do dispositivo, um script bash é executado para configurar o ambiente para o código malicioso.

Kaiji, um novo malware para Linux
O código malicioso foi projetado para direcionar servidores baseados em Linux e dispositivos da Internet das Coisas (IoT) e usá-los como parte de um botnet DDoS.

A análise continua:

Um diretório /usr/bin/lib é criado. Assim, o Kaiji é instalado com o nome de arquivo ‘netstat‘, ‘ps‘, ‘ls‘ ou algum outro nome de ferramenta do sistema.

Um malware simples

O malware Kaiji para Linux é bastante simples; ele implementa vários ataques DDoS, inclui um módulo para realizar ataques de força bruta SSH e roubar chaves SSH usadas. Assim, ele se espalha para outros dispositivos para infectar hosts aos quais o servidor se conectou no passado.

Todavia, os servidores de comando e controle Kaiji não são estáveis; eles geralmente ficam offline. De qualquer forma, especialistas alertam que os recursos desse botnet podem torná-lo um ator perigoso no cenário de ameaças.

Fonte: Security Affairs

Escrito por Leonardo Santana

Profissional da área de manutenção e redes, astrônomo amador, eletrotécnico e apaixonado por TI desde o século passado.