Software de minado en Linux podría robar contraseñas y desactivar antivirus

Share this…

Este troyano también instala un rootkit y otra variante de malware que puede llevar a condiciones de denegación de servicio

Tal vez las variantes de malware que afectan a los usuarios de Linux no sean tan comunes como las amenazas para los usuarios que trabajan con Windows, pero el malware de Linux se vuelve cada vez más funcional y complejo, consideran especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.

La más reciente muestra de esta tendencia se trata de un troyano descubierto este mes por una firma desarrolladora de antivirus; es un malware que aún no tiene un nombre específico, pero que ha sido rastreado como Linux.BtcMine.174. Este troyano es un poco más complejo que la mayoría del malware funcional en Linux, principalmente debido a la gran cantidad de funciones maliciosas que es capaz de realizar.

Es un gigantesco script de shell de más de mil líneas de código. Este script es el primer archivo ejecutado en un sistema Linux infectado. Lo primero que hace es encontrar una carpeta en el disco en la que tenga permisos de escritura para poder copiarse, posteriormente, el malware utiliza esa carpeta para descargar otros módulos, reportan los especialistas en ciberseguridad y forense digital.

Cuando el troyano consigue acceso a un punto de apoyo en el sistema, utiliza los exploits de escalada de privilegios CVE-2016-5195 (también conocido como Dirty Cow) o CVE-2013-2094 para obtener acceso completo al sistema operativo atacado. El troyano luego se configura como un daemon local, e incluso descarga la utilidad nohup para lograr esta operación si la utilidad ya no está presente en el sistema con anterioridad.

Una vez que el troyano extiende su dominio sobre el sistema infectado, comienza con la ejecución de su tarea principal, la minería de criptomoneda (cryptojacking). El troyano primero escanea el sistema buscando procesos de criptominado de variantes rivales, los finaliza y finalmente descarga y comienza la ejecución de su propia operación de minado de Monero. El malware también descarga y ejecuta un software malicioso adicional, conocido como el troyano Bill.Gates, una conocida cepa de malware para ataques de denegación de servicio (DDoS), pero que también incluye funciones similares a un backdoor.

El troyano es capaz de realizar aún más funciones, también busca nombres de procesos asociados a software antivirus basado en Linux y finalizará su ejecución. Los especialistas en forense digital afirman que han visto troyanos capaces de detener los procesos de antivirus que tienen nombres como safedog, aegis, yunsuo, clamd, avast, avgd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.

A pesar de todas las funciones que es capaz de desempeñar el troyano Linux.BtcMine.174, parece que sus desarrolladores no estaban satisfechos. Acorde a los investigadores en ciberseguridad y forense digital, el troyano también se agrega como una entrada de ejecución automática a archivos como /etc/rc.local, /etc/rc.d /… y /etc/cron.hourly; para luego descargar y ejecutar un rootkit.

Los especialistas afirman que este componente de rootkit tiene características aún más intrusivas, como la capacidad de robar contraseñas ingresadas por el usuario y ocultar archivos en el sistema, conexiones de red y procesos en ejecución.

Por si fuera poco, el troyano también ejecutará una función para recopilar información sobre los servidores remotos que el host infectado se ha conectado a través de SSH e intentará conectarse también a esas máquinas, propagando de este modo la infección. Los investigadores creen que este es el principal método de distribución del malware.