.
Um tipo de malware de criptomineração direcionado a sistemas baseados em Linux adicionou recursos ao incorporar um trojan de acesso remoto de código aberto chamado Chaos RAT com várias funções avançadas que os criminosos podem usar para controlar sistemas operacionais remotos.
Os pesquisadores de segurança da Trend Micro descobriram a ameaça no mês passado. Como versões anteriores semelhantes do minerador que também visam sistemas operacionais Linux, o código mata malware concorrente e recursos que afetam o desempenho da mineração de criptomoeda.
O malware mais recente então estabelece persistência “alterando /etc/crontab arquivo, um agendador de tarefas do UNIX que, neste caso, baixa a si mesmo a cada 10 minutos do Pastebin,” escreveu Pesquisadores da Trend Micro David Fiser e Alfredo Oliveira.
Depois disso, ele baixa um minerador XMRig, um arquivo de configuração, outro payload que elimina continuamente o malware concorrente e o Chaos RAT (ferramenta de acesso remoto), que é escrito em Go e possui vários recursos, incluindo reiniciar e desligar a máquina da vítima. .
Além disso, a ferramenta de código aberto pode executar shell reverso no sistema infectado, fazer capturas de tela do dispositivo da vítima, coletar informações sobre o sistema operacional e baixar, carregar ou até mesmo excluir arquivos.
“Uma característica interessante da família de malware que interceptamos é que o endereço e o token de acesso são passados como sinalizadores de compilação e codificados dentro do cliente RAT, substituindo quaisquer dados dentro das variáveis do código principal”, escreveram os pesquisadores.
Eles também observaram que o servidor principal, usado para baixar cargas úteis, parece estar na Rússia, enquanto o Chaos RAT se conecta a outro servidor de comando e controle que se acredita estar em Hong Kong.
Vale a pena notar que o servidor russo também foi usado para hospedagem à prova de balas na nuvem – os serviços de infraestrutura fornecidos por outros personagens obscuros que os criminosos podem usar para lançar e normalmente ocultar seus ataques cibernéticos e outras atividades ilícitas. De acordo com os pesquisadores da Trend Micro, outros cibercriminosos usaram esse mesmo serviço de hospedagem para seus ataques à infraestrutura em nuvem, contêineres e servidores Linux.
“Superficialmente, a incorporação de um RAT na rotina de infecção de um malware de mineração de criptomoeda pode parecer relativamente menor”, disseram Fiser e Oliveira.
“No entanto, dada a variedade de funções da ferramenta e o fato de que essa evolução mostra que os agentes de ameaças baseados em nuvem ainda estão desenvolvendo suas campanhas, é importante que tanto as organizações quanto os indivíduos permaneçam vigilantes quando se trata de segurança”, continuaram. ®
.
