Novo malware para Linux consegue mudar seu código para não ser detectado


Os ataques contra sistemas Linux vêm aumentando, e uma ameaça descoberta recentemente é muito engenhosa. O malware Shikitega começa com um arquivo de menos de 1 KB praticamente indetectável, e vai pouco a pouco se desenvolvendo na máquina, até obter privilégios de administrador bastante abrangentes.

Antivírus para Linux: 5 opções para uso doméstico e empresarialO que é vírus? [e a diferença para malware]Linux (Imagem: Vitor Pádua/Tecnoblog)

A ameaça foi identificada por pesquisadores de segurança da operadora de telecomunicações AT&T. Ela usa um codificador polimórfico, responsável por “traduzir” o código em etapas.

Cada fase faz o download da próxima, até o malware instalar um minerador de criptomoedas e um pacote que controla partes importantes da máquina.

O primeiro arquivo tem apenas 376 bytes e é codificado usando o encoder Shikata Ga Nai. Ofer Caspi, pesquisador do AT&T Alien Labs, explica que esse módulo é usado para executar várias etapas de decodificação.

Muito do processo, como substituição de instruções, ordenamento de blocos e seleção de registros, é feito de forma dinâmica.

Os comandos e arquivos adicionais são executados direto da memória, sem passar pelo armazenamento. Tudo isso dificulta a detecção da ameaça por métodos tradicionais, como os baseados em assinaturas dos arquivos.

Ainda não se sabe o objetivo do malware

Apesar de o processo de infecção estar bem documentado pelo trabalho dos especialistas da AT&T, o objetivo final do Shikitega ainda é incerto.

O malware inclui o XMRig, que é um minerador da criptomoeda Monero, bastante visada por cibercriminosos.

No entanto, o programa também baixa um pacote conhecido como Mettle, que permite controlar webcams, roubar credenciais e redirecionar entradas e saídas de rede.

Por isso e por toda a sofisticação do ataque, o Shikitega pode não ser apenas um minerador de criptomoedas.

Malware ataca falhas já corrigidas

A ameaça se aproveita de duas falhas do kernel Linux para escalar seus privilégios e conseguir mais controle sobre a máquina.

Uma delas é a CVE-2021-4034, conhecida como PwnKit. Ela esteve no kernel por 12 anos e foi descoberta apenas em 2021. A outra, chamada CVE-2021-3494, veio à tona em abril de 2021.

Ambas foram corrigidas, mas as atualizações podem não ter sido instaladas em todos os dispositivos. Isso é ainda pior quando se trata de Internet das Coisas (IoT) — nem sempre as empresas dão o suporte adequado a produtos desse tipo.

Com informações: AT&T Cybersecurity, Ars Technica.

Novo malware para Linux consegue mudar seu código para não ser detectado


Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *