Novo malware continua a atacar computadores Linux

Emanuel Negromonte
Por Emanuel Negromonte

Pesquisadores da Trend Micro descobriram agentes atacando máquinas com sistemas operacionais Linux usando um código malicioso voltado especificamente para infectar a Huawei Cloud, removendo aplicações e serviços de segurança para, assim, tornar os dispositivos atacados mais vulneráveis.

O linux64_shell é, atualmente, uma das maiores ameaças aos usuários de sistemas Linux e é essencial conhecer seu funcionamento e como se proteger desta nova ameaça cibernética da melhor forma possível.

Ameaça ao Linux

O novo malware tem como alvos centrais os serviços de armazenamento em nuvem relativamente mais recentes no mercado, especialmente com códigos maliciosos voltados à mineração de criptomoedas usando os dispositivos infectados como “hospedeiros” para realizar a prospecção destes ativos digitais de forma silenciosa.

Os novos códigos maliciosos desabilitam o serviço de hostguard (um processo de agente da Huawei Cloud voltado para sistemas Linux, responsável por detectar problemas de vulnerabilidade) do dispositivo atacado.

Outro recurso desabilitado pelo código malicioso é o cloudResetPwdUpdateAgent, um plug-in de código aberto que permite aos usuários da Huawei Cloud redefinir senhas para a instância Elastic Cloud.

Vulnerabilidades da Huawei Cloud

O principal foco do novo código malicioso são instâncias vulneráveis dentro da Huawei Cloud, uma plataforma de armazenamento em nuvem para vários dispositivos com opções de armazenamento profissional e também opções abertas/públicas.

Através de chaves públicas que os invasores conseguem obter, as atualizações da plataforma são alteradas, aceitando as chaves usadas pelos invasores.

Então, o código malicioso elimina todos os traços da infecção anterior para evitar o compartilhamento de recursos computacionais, enquanto também mantém o acesso ao sistema infectado.

Pontos frágeis como este podem ser minimizados com o uso de determinados recursos, como um bom firewall e/ou uma ferramenta VPN confiável, capaz de melhorar a segurança da conexão e, assim, diminuir certas vulnerabilidades que podem ser exploradas por este tipo de código malicioso.

Alterações nas ferramentas de segurança

A nova ameaça também procura por ferramentas de segurança do sistema que têm potencial para impedir sua ação, removendo os traços de infecção no dispositivo para inviabilizar a ação destes recursos de defesa.

Com nomes genéricos como system ou logger, usuários menos experientes podem ser enganados a acreditar na legitimidade destes perfis criados pelo malware – todos com privilégios de administrador sobre o sistema infectado.

Ainda de acordo com a Trend Micro, os agentes também adicionam uma chave própria, ssh-rsa para manter o acesso ao sistema infectado e conceder permissões suficientes para garantir que os arquivos maliciosos não sejam modificados nem removidos futuramente.

E, além disto, há também a instalação de programas como o navegador Tor, usando-o de forma adulterada para fazer payloads a realizar conexões maliciosas de forma anônima, feitas pelo malware, de acordo com pesquisadores.

Linux64_shell e xlinux

Em adição, o código malicioso lança dois executáveis em formato binário, o linux64_shell e o xlinux.

O linux64_shell é empacotado e ofuscado por meio do Ultimate Packer para executáveis, o que o torna extremamente difícil de ser identificado como um arquivo malicioso.

E o xlinux, um binário compilado, implementa vários módulos da framework (estrutura) kunpeng. Agindo como um suposto recurso de varredura de vulnerabilidades, na verdade ele explora fraquezas e vulnerabilidades do sistema e lança o código malicioso inicial que desencadeia as demais ações e ataques à máquina infectada.

Segundo a Trend Micro, o linux64_shell é um compilado CrossC2 de libraria de comunicação capaz de interagir com o módulo Cobalt Strike.

O xlinux notifica agentes maliciosos sobre a máquina infectada enviando um HTTP POST que começa a ação como um “varredor de segurança”. Depois que a vulnerabilidade é encontrada, ele a explora e inicia a propagação da infecção.

Mudanças adicionais

Depois de agir como falsos antivírus, os executáveis exploram fraquezas e ainda agem procurando senhas fracas no sistema, além de conceder acesso não-autorizado ao Redis, SQLServer, SSH, MongoDB, FTP e PostgreSQL, além de vulnerabilidades no Oracle WebLogic Server.

O principal objetivo da nova ameaça é instalar malware voltado à mineração de criptomoedas e ações de cryptojacking, e a maioria dos ataques monitorados ocorreram porque os serviços em execução na nuvem possuíam API ou SSH com credenciais muito fáceis de serem descobertas, ou com um nível de permissividade bastante alto.

Estas configurações frágeis permitem aos invasores usar estas brechas para se infiltrar em um sistema sem precisar explorar outras vulnerabilidades pré-existentes.

A falta de configurações adequadas acaba por constituir a principal porta de entrada para esta nova ameaça cibernética.

Ainda em declarações da Trend Micro, há o aviso de que as empresas e pessoas não devem confiar a segurança digital apenas a antivírus e a varredores de malware, nem mesmo ferramentas de verificação de vulnerabilidades.

Ao invés disto, devem estudar seus modelos de responsabilidade CSP para determinar quais as melhores políticas de segurança precisam ser seguidas antes de publicar seus serviços de armazenamento em nuvem.

Comportamentos de segurança importantes

Para manter ambientes de nuvem mais seguros, é preciso estudar soluções de segurança personalizadas que sejam capaz de minimizar os riscos mais expressivos envolvidos nas atividades, seja para empresas ou usuários domésticos.

Manter as atualizações de segurança é essencial, além de usar credenciais mais robustas e menos óbvias, que são mais facilmente captadas por este tipo de malware.

E, para a instalação de navegadores para a comunicação com URL’s infectados que ajudam a disseminar estes programas maliciosos, uma boa VPN é capaz de melhorar a privacidade dos usuários.

Serviços profissionais, como a NordVPN, melhoram a proteção da máquina garantindo uma conexão mais segura. A VPN oferecida pela NordVPN, por exemplo, conta com o recurso CyberSec que pode bloquear o acesso a alguns websites que são reconhecidamente propagadores de malware.

Share This Article
Follow:
Fundador do SempreUPdate. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.