Una nueva criptomoneda minería de malware dirigido a los sistemas Linux ha demostrado lo complejo que se ha convertido este tipo de malware. Conocido como Skidmap, el malware no sólo es más difícil de detectar, sino que también da a los atacantes acceso sin filtrar al sistema afectado.
El malware fue descubierto por los investigadores de seguridad de TrendMicro. En una entrada de blog, los investigadores revelaron que el malware puede configurar una contraseña maestra secreta que da a los atacantes acceso a cualquier cuenta de usuario en el sistema.
El malware se instala a través de crontab, una lista de tareas programación para ejecutarse en intervalos regulares, explicaron los investigadores. Tras la ejecución, el malware disminuye la configuración de seguridad de la máquina afectada. Para ello, deshabilita el módulo Security Enhanced Linux (SELinux), un módulo de seguridad que proporciona soporte en las políticas de control de acceso del sistema.
Skidmap también proporciona a los atacantes acceso de puerta trasera a la máquina afectada agregando las claves públicas del atacante a la lista de claves necesarias para la autenticación.
Además, reemplaza el módulo de autenticación del sistema conocido como pam_unix con su propia versión maliciosa. Esta versión acepta una contraseña específica establecida por los atacantes para cualquier usuario en el sistema, lo que les permite iniciar sesión en cualquier cuenta de usuario a voluntad.
MIRA TAMBIEN: Hackers venden grandes cantidades de dinero fiat en la dark web a cambio de pequeños pagos con criptomonedas
MIRA TAMBIEN: PLAYA DE PALMA: PRIMER DESTINO ESPAÑOL EN UTILIZAR CRIPTOMONEDAS
Para evitar la detección, Skidmap carga varios otros componentes malintencionados en las máquinas afectadas. Uno de ellos es un rootkit de enlace de red que falsifica las estadísticas de red, específicamente el tráfico que implica ciertos puertos y direcciones IP. También falsifica las estadísticas relacionadas con la CPU, haciendo que las máquinas afectadas parezcan estar funcionando normalmente. Con el alto uso de la CPU siendo una de las banderas rojas más reconocidas de un malware cryptojacking, esta es una estrategia clave para los atacantes.
Los investigadores revelaron a The Next Web que Skidmap extrae Monero, una de las principales monedas oscuras. “El minero criptomoneda perteneciente a este artículo es una variante de XMRig que minas criptomoneda Monero”, afirmaron.
Los investigadores aconsejaron: “Dado el uso de Linux en muchos entornos empresariales, sus usuarios, en particular los administradores, siempre deben adoptar las mejores prácticas: mantener los sistemas y servidores actualizados y parcheados (o utilizar parches virtuales para sistemas heredados); tener cuidado con los repositorios de terceros no verificados; y hacer cumplir el principio de privilegios mínimos para evitar que se ejecuten ejecutables o procesos sospechosos y malintencionados.”
Los ataques de malware Cryptojacking aumentaron un 29% en el primer trimestre del año, según reveló el mes pasado un informe de McAfee Labs. Los atacantes han continuado encontrando nuevas maneras de mantenerse a la vanguardia, con un informe reciente que revela que el malware Glupteba está utilizando la cadena de bloques Core Coin (BTC) para aumentar su resiliencia.