O mundo Linux tem enfrentado problemas incomuns com malwares e trojans nos últimos tempos. Agora, surge uma nova ameaça. O chamado Good Guy Malware afeta sistema Linux e remove outras infecções. Importante notar que os mineradores de moedas se tornaram a nova onda no mundo do malware. Assim, as novas versões estão ficando mais complexas, sendo capazes de esconder seus processos de forma mais eficaz, a fim de evitar a detecção.
Porém, a fornecedora de segurança Trend Micro encontrou recentemente um novo minerador de moedas Linux. A finalidade não é apenas rodar sem que os usuários detectem a presença. Outro objetivo é também remover os outros malwares e mineradores encontrados em um sistema comprometido.
O relatório
Em uma análise do relatório, a empresa de segurança explica que a infecção usa o código do KORKERDS. Além disso, utiliza o crontabs para garantir que seja iniciado após a reinicialização.
O script que o malware usa baixa uma versão modificada do XMR-Stak, um minerador de criptomoedas especificamente voltado para as moedas Cryptonight. Este minerador pode usar a maioria das CPUs, bem como GPUs NVIDIA e AMD para seus processos.
Usando todos os recursos disponíveis
A Trend Micro explica que o malware tem como alvo sistemas de câmeras IP e serviços da Web na porta TCP 8161. É esta porta que o atacante usa para enviar um arquivo crontab com o objetivo de baixar um script de shell.
Quando o script atinge um dispositivo, remove todos os malwares, mineradores de moedas e serviços associados a eles. O objetivo é usar todos os recursos disponíveis para suas próprias tarefas de mineração. Portanto, ele elimina outros mineradores e formas de malware em um sistema. Assim, o script garante que os recursos dos computadores estejam sempre disponíveis para seus processos.
Embora uma rotina de malware que inclua a remoção de outros malwares no sistema não seja nova, nunca vimos a remoção de malwares do Linux do sistema nessa escala. A remoção de malwares concorrentes é apenas uma das maneiras pelas quais os cibercriminosos maximizam seus lucros, explica a Trend Micro.
A solução
Como sempre, manter os sistemas atualizados e rastrear o uso de recursos é a melhor maneira de permanecer protegido. Normalmente, eles usam todos os recursos disponíveis e causam uma desaceleração perceptível no desempenho do dispositivo.