Malware Linux usa ferramenta de código aberto para evitar detecção

Malware Linux usa ferramenta de código aberto para evitar detecção

Os pesquisadores de segurança da AT&T Alien Labs descobriram que o grupo TeamTNT atualizou seu malware Linux com recursos de código aberto para evitar detecção. O TeamTNT é mais conhecido por direcionar e comprometer instâncias do Docker expostas na internet para mineração de criptomoeda Monero (XMR).

No entanto, o grupo também mudou de tática, atualizando seu malware Linux chamado Black-T para também coletar credenciais de usuário de servidores infectados.

Malware Linux usa ferramenta de código aberto para evitar detecção

O TeamTNT agora atualizou ainda mais seu malware para evitar a detecção após infectar e implantar cargas úteis de minerador de moedas em dispositivos Linux.

Os pesquisadores de segurança da AT&T Alien Labs descobriram que o grupo TeamTNT atualizou seu malware Linux com recursos de código aberto para evitar detecção.

Ofer Caspi, pesquisador de segurança da AT&T Alien Labs, disse:

O grupo está usando uma nova ferramenta de evasão de detecção, copiada de repositórios de código aberto.

Esta ferramenta é conhecida como libprocesshider e é uma ferramenta de código aberto disponível no GitHub que pode ser usada para ocultar qualquer processo Linux.

A ferramenta de evasão de detecção é implantada em sistemas infectados como um script bash ou binário cryptominer. Assim que o script for iniciado em uma máquina comprometida, ele executará uma série de tarefas.

Depois, o malware Black-T também apagará automaticamente todos os rastros de atividades maliciosas, excluindo o histórico de bash do sistema.

Depois que o malware infecta um servidor mal configurado, ele se implanta em novos contêineres e libera um binário de carga útil malicioso que começa a explorar a criptomoeda Monero.

No início deste mês, o TeamTNT começou a usar o crypter Ezuri de código aberto e o carregador de memória para tornar seu malware virtualmente indetectável por produtos antivírus.

Bleeping Computer

Acesse a versão completa
Sair da versão mobile