Un nuevo informe de seguridad revela el descubrimiento de un nuevo y peligroso malware tipo troyano dirigido al sistema operativo Linux. Se clasifica como una amenaza híbrida, ya que abarca distintos vectores de ataque de varios tipos de infecciones. Los ataques se encuentran para tomar ventaja de 2 vulnerabilidades conocidas como CVE-2016-5195 y CVE-2013-2094.

El troyano Linux.BtcMine.174 explota las vulnerabilidades CVE-2013-2094 y CVE-2016-5195

Los troyanos para sistemas operativos Linux continúan emergiendo, ya que se ha comprobado que son particularmente eficaz contra las estaciones de trabajo y servidores de implementación masiva en redes específicas. Se ha informado recientemente que una infección particularmente peligrosa infecta redes en todo el mundo. Se le ha asignado el nombre genérico identificado de Linux.BtcMine.174. El propio troyano es una colección de comandos contenidos en un script de shell que contiene más de 1.000 líneas de código. Las infecciones comienzan con un script que busca una ubicación en el disco duro local que tiene permisos de escritura. Una vez que el troyano encuentre el directorio se copiará y lanzará el resto de los módulos.

Se propaga mediante el uso de 2 exploits:

  • CVE-2016-5195: Esta es la famosaa colección de exploits conocida como “Dirty Cow” que esta dirigido a dispositivos con Linux y Android. Fue corregido por Google en el boletín de actualización de Diciembre del 2016. Esta es una vulnerabilidad del kernel que aprovecha una condición de race que permite que los códigos maliciosos obtengan acceso de escritura a la memoria de solo lectura. Los sistemas operativos no parcheados se pueden comprometer fácilemente con el código del malware.
  • CVE-2013-2094: Este error explota una vulnerabilidad en el kernel de Linux que permite a los usuarios locales obtener privilegios en el sistema operativo.

Una vez impactado, el código del malware se establecerá como un daemon local que activará la descarga del motor de infección. El troyano continuará con la ejecución de la configuración integrada asociada con cada campaña de infección. Esto significa que cada ataque individual puede producir un comportamiento diferente y un impacto resultante. Las muestras capturadas hasta ahora inician una instancia de minería de criptomonedas. Antes de ejecutarse, escaneará la memoria y el contenido del disco duro en busca de otros malwares del tipo cryptomining. Esto se hace con el fin de maximizar la generación de ingresos para los cibercriminales. La campaña actual de malware carga un minero basado en la criptomoneda Monero.

El troyano híbrido Linux.BtcMine.174 continúa más lejos

Después de que la amenaza se implantó en el sistema de destino, se encontró que las muestras de Linux.BtcMine.174 adquiridas descargan otro malware llamado Bill Gates Trojan. Este es un sofisticado malware DDoS (Denegación de Servicio Distribuido) que también permite a los cibercriminales tomar el control de los hosts infectados para realizar ataques de DDoS.

También se realiza una omisión de seguridad asociada: estafará los procesos que se ejecutan en la memoria asociados con productos antivirus basados en Linux. Si se encuentran, se matarán instantáneamente para evitar la detección. Después el troyano se configurará como un daemon e instalará un módulo de rootkit. Supera las operaciones del troyano al poder robar contraseñas ingresadas por el usuario y esconderse en el sistema.

El análisis de Linux.BtcMine.174 muestra que se ha instalado una función separada que recopilará información de credenciales, en este caso particular, una lista de todos los servidores remotos y las credenciales. Esto permite a los cibercriminales secuestrar los strings necesarios y poder conectarse a estas máquinas. Esto permite la infección automatizada de redes enteras de computadoras y servidores.

Se cree que este mecanismo es el principal canal de distribución. Las infecciones activas pueden ser difíciles de detectar, ya que no son diferentes de las conexiones remotas regulares iniciadas por los usuarios. Las sumas de comprobación para los troyanos detectados se han publicado en GitHub. Esto permite a los administradores de sistemas escanear sus sistemas e identificar si han sido infectados.

También puedes leer: Sophos proporciona información sobre las tendencias emergentes en el Informe de amenazas 2019

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *