Malware de mineração de criptomoeda adiciona capacidade de roubar senhas Linux

O grupo TeamTNT atualizou seu malware de mineração de criptomoeda Monero com recursos de roubo de senhas Linux e com um scanner de rede adicional para facilitar a disseminação para outros dispositivos vulneráveis.

Os pesquisadores da Unit 42 descobriram que o TeamTNT está trabalhando arduamente para aumentar as capacidades de seu malware, desta vez adicionando recursos de remoção de senhas de memória via mimipy (suporte para Windows/Linux/macOS) e mimipenguin (suporte para Linux), dois equivalentes de código aberto do Mimikatz.

Malware de mineração de criptomoeda adiciona capacidade de roubar senhas Linux

O Black-T (como o malware foi nomeado) coleta todas as senhas em texto simples que encontra na memória dos sistemas comprometidos e as entrega aos servidores de comando e controle do grupo TeamTNT.

O grupo também adicionou o scanner de rede zgrab GoLang ao malware de mineração Black-T (o terceiro scanner além do pnscan e masscan). O scanner masscan também foi atualizado para ter como alvo a porta TCP 5555; o que pode sugerir que o grupo tem como alvo dispositivos Android, embora a evidência disso seja atualmente muito frágil.

O TeamTNT usa botnet de servidores comprometidos para verificar ambientes em nuvem com instalações do Kubernetes e Docker com APIs expostas com a ajuda dos scanners de rede masscan, pnscan e/ou zgrab.

Depois que o malware infecta com sucesso um servidor mal configurado, ele se implanta em novos contêineres e instala um binário de carga útil malicioso que começa a explorar a criptomoeda Monero (XMR).

Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.

Fonte: Bleeping Computer