Skidmap

As campanhas de cryptojacking têm sido uma das principais tendências do mundo do crime cibernético e, como esperado, os cibercriminosos estão começando a introduzir malware de mineração criptográfica mais avançado que pode escapar de caixas de areia, persistir após a remoção e até disfarçar sua presença na máquina da vítima. Outra coisa notável sobre um malware de mineração de criptografia é que ele não é direcionado apenas para computadores Windows - muitas das famílias de malware usam sistemas baseados em Linux, e é o caso do Skidmap.

Os Malwares de Mineração de Moedas Digitais Continua a Evoluir

O Skidmap é uma família de malware recém-descoberta, cujo objetivo principal é implantar um malware pré-configurado de minerador de moeda digital que gera moedas Monero para os atacantes. Embora essa seja a coisa típica que você esperaria ver em um projeto de quebra de criptografia, há muito mais no código do Skidmap. Essa variedade de malware em particular é capaz de usar os 'Módulos carregáveis do kernel' para manipular a configuração e o comportamento dos sistemas baseados em Linux, garantindo assim que o malware do minerador continue operando o maior tempo possível. Além disso, o Skidmap também pode fornecer aos invasores acesso backdoor, aplicando várias alterações nos principais módulos do Linux. Enquanto o malware Skidmap é usado atualmente para moedas digitais, seus outros módulos são um certo sinal de que seus autores poderiam realizar operações muito mais ameaçadoras, se quisessem.

Como muitos dos módulos do Skidmap exigem acesso de raiz para funcionar, é provável que os invasores estejam usando vulnerabilidades não corrigidas, sistemas mal protegidos e outros vetores de infecção de alto nível para garantir que o malware seja executado com privilégios administrativos. Após o lançamento, o Skidmap aplicará várias alterações cujo objetivo é desativar o módulo SELinux (Security-Enhanced Linux), bem como definir uma senha mestra para todas as contas de usuário, substituindo o arquivo 'pam_unix.so' por um arquivo corrompido criado pelos cibercriminosos. Como medida de backup, o malware do Skidmap também adicionará uma chave ao arquivo 'allowed_keys' que permitiria que os atacantes usassem o SSH para se conectar ao host comprometido.

O Skidmap Emprega Técnicas Avançadas para Obter Persistência e Furtividade

Depois de concluir esta tarefa, o Skidmap começará a implantar seus módulos, bem como o malware mineiro responsável pela operação de mineração Monero. O último pode ser colocado em um diretório diferente, determinado pelo tipo de distribuição Linux que a vítima está usando. Outros módulos que o Skidmap carrega são:

  • Ele substitui o módulo 'rm' por um módulo falso, programado para baixar e iniciar um arquivo em intervalos de tempo aleatórios.
  • Os módulos LKM que servem como rootkit e podem permitir que o malware do Skidmap persista mesmo que seja removido.
  • Um módulo que pode ocultar os arquivos usados pelo Skidmap e o minerador de moedas digitais que ele libera.
  • Um módulo que falsifica os relatórios de uso de rede e CPU que o Linux entrega. Isso pode deixar os usuários de PC com a impressão de que suas CPUs não estão sendo usadas muito, apesar do malware de minerador usar a maioria de seus recursos.

O malware de criptojacking está sendo carregado com mais e mais recursos, e a variedade Skidmap é um dos projetos mais avançados com os quais os pesquisadores de malware tiveram que lidar com certeza. Proteger seus sistemas do Skidmap requer o uso de recursos de segurança configurados corretamente, um mecanismo antivírus respeitável, o uso de senhas fortes e software atualizado.

Tendendo

Mais visto

Carregando...