Pesquisadores de segurança alertam que uma nova forma de malware que atinge o Linux. O principal alvo são servidores Linux. O malware desabilita configurações e dispositivos de segurança para minerar criptomoeda. Leia neste post que um malware remove software de segurança para o Mine Monero no Linux. Assim, um malware afeta servidores Linux para mineração de criptomoedas
Como age o malware
A Unidade 42 da Palo Alto Networks revela que encontrou amostras de malware usadas por um grupo chamado Rocke para se infiltrar em sistemas Linux. Depois de infiltrados, procuram cinco produtos de segurança em nuvem diferentes que poderiam bloquear mais atividades maliciosas nos hosts comprometidos.
A análise revela ataques bem-sucedidos lançados pela Rocke. Primeiro, eles exploram as vulnerabilidades encontradas em outras soluções de software que permitiriam a implantação do malware. Falhas no Apache Struts 2, no Oracle WebLogic e no Adobe ColdFusion estão sendo usadas.
Depois que o host é comprometido, o malware faz o download de um script chamado a7 no sistema e permite a persistência usando cronjobs.
Além disso, ele pode matar todos os outros processos de mineração executados no mesmo host, bloquear outro malware com regras do iptables, ocultar seu processo malicioso e desinstalar produtos de segurança em nuvem baseados em agente.
Servidores chineses afetados
As soluções de segurança impactadas são todas desenvolvidas por empresas chinesas. Os seguintes produtos foram confirmados como afetados pelo malware:
- Alibaba Threat Detection Service agent;
- Alibaba CloudMonitor (Monitor de CPU e consumo de memória, conectividade de rede);
- Alibaba Cloud Assistant (ferramenta para gerenciar automaticamente as instâncias);
- Tencent Host Security Agent;
- Tencent Cloud Monitor Agent.
Considerando-se que os alvos do malware são principalmente produtos de segurança desenvolvidos pela Alibaba e pela Tencent, acredita-se que a maioria dos ataques seja realizada na China.,No entanto, da mesma forma, possa ter se alastrado a outras regiões.
Ambas as empresas já foram informadas dos ataques, a fim de bloquear potenciais explorações.
Depois que os produtos de segurança e monitoramento na nuvem baseados em agente são desinstalados, o malware usado pelo grupo Rocke começa a exibir comportamentos maliciosos. Acreditamos que esse comportamento único de evasão será a nova tendência de malware que visa a infraestrutura de nuvem pública, observa a equipe de pesquisa de segurança.