A konkurenciával és a védvonalakkal is végez a linuxos kriptobányász

Új kriptobányász malware ütötte fejét, amely a Linux-alapú rendszereket veszi célba. Az élelmes Linux.BtcMine.174 kártevőt az orosz Dr.Web biztonsági cég szakértői fedezték fel, a rosszindulatú szoftver amellett, hogy egy sor, a hálózatra csatlakozó eszközt képes megfertőzni, akár a biztonsági szoftvereket is lekapcsolhatja.

A malware több komponensből áll: az első az adott rendszerre kerülve keres egy nem írásvédett könyvtárat, ahová a később letöltött modulok kerülhetnek. Ezt követően a nohup paranccsal újraindítja magát daemonként - ha pedig a nohup parancs nem található meg az adott rendszeren, a kártevő maga telepíti az azt tartalmazó coreutils csomagot. Ha mindez megtörtént a rosszindulatú szoftver a Dr.Web által Linux.BackDoor.Gates.9 néven emlegetett trójai letöltésével folytatja, amely egy sor ismert biztonsági rést tartalmaz, amelyeken keresztül a támadók parancsokat futtathatnak a rendszeren, vagy akár DDoS támadáshoz is csatasorba állíthatják azt. Amennyiben a Linux.BtcMine.174 nem root jogosultságokkal jut az adott rendszerre, több sebezhetőséget is végigpróbál jogosultságainak feltornázására. Ezek között ott van az Android által is megörökölt, linuxos DirtyCow biztonsági rés is.

Miután a malware berendezkedett, elkezd rivális kártevők után kutatni az adott gépen, és ha ilyet talál, leállítja a hozzájuk tartozó folyamatokat. Ezt követően biztonsági szoftverek után is elkezd kutatni, és ha azokhoz köthető nevű futó szolgáltatást talál, mint például a safedog, aegis, yunsuo, clamd, avast, avgd, netán esets, nem csak leállítja azt, de a csomagkezelővel el is távolítja a elcsípett vírusirtót a gépről, annak telepítési könyvtárával együtt.

Ha a konkurenciát és a rendszer védelmi vonalait kiiktatta, a malware hozzáadja magát az automatikusan induló alkalmazások listájához, illetve egy rootkitet is elindít. Utóbbi modul képes a su parancshoz megadott felhasználói jelszavak begyűjtésére, valamint igény szerint fájlokat, futó folyamatokat és hálózati kapcsolatokat is el tud rejteni. A trójai az adatok birtokában terjeszkedni is megpróbál azokra az eszközökre, amelyekkel az adott rendszer korábban SSH kapcsolatot létesített.

Végül kártevő elindítja a kriptobányász-modulját az eszközön, amellyel a fertőzött gép erőforrásait használva Monero kriptovalutát igyekszik gyűjteni - és amelynek aktivitását percenként ellenőrzi, így ha kell, újra tudja indítani a bányászt. Mindeközben a malware a vezérlőszerverrel is tartja a kapcsolatot, ahonnan igény szerint frissítéseket is letölt. A Dr.Web GitHub oldalán közzétette a kártevő egyes komponenseinek SHA1 hash-eit, illetve az érdeklődők számára részletes leírást is közölt a fertőzés folyamatáról. Azt egyelőre nem tudni, hogy a kártevő eddig hány eszközt fertőzhetett meg.