Linux: nuovo malware sfrutta il vostro pc per minare criptovalute (Monero)

0
271
malware

I malware e i virus in generale sono poco diffusi su distribuzioni GNU/Linux. Negli ultimi mesi è cresciuto molto l’interesse per il mondo delle criptovalute in seguito all’importante ascesa di Bitcoin nel corso del 2017 che ha trainato anche il resto del mondo crypto. Ascesa che ora si è decisamente ridimensionata. I cybercriminali hanno dunque iniziato a pensare a malware in grado di sfruttare il pc degli ignari utenti per minare criptovalute. Il mining è un’attività che consiste nell’usare processore e/o scheda video di un pc per risolvere calcoli complessi e ricevere, di conseguenza, una ricompensa in crypto.

Linux.BtcMine.174 nuova minaccia per il pinguino

monero-miningIl nome del malware recentemente scoperto da Dr.Web è Linux.BtcMine.174. Il virus è veramente potente e complesso. Si tratta di uno script con oltre 1.000 righe di codice, che, una volta eseguito, va alla ricerca di una cartella con permessi di scrittura per replicare sé stesso e scaricare altri pezzi di codice. Il malware monitora continuamente i server remoti per verificare la presenza di eventuali aggiornamenti che, se presenti, vengono scaricati e installati.

Una volta inseritosi nel sistema il malware usa due exploits: CVE-2016-5195 (noto anche come Dirty COW) e CVE-2013-2094 per ottenere i permessi di root. Una volta attivo forza la chiusura di antivirus e di tutti i processi che potrebbero dargli fastidio e inizia l’attività di mining. La criptovaluta minata è Monero (XMR).

Il malware scarica anche il trojan Bill.Gates e un rootkit lasciando aperta una backdoor per i cybercriminali. Il rootkit ha funzionalità molto avanzate: è in grado di nascondere file e processi attivi. Non contento, stando alle analisi di Dr.Web, il malware si trasforma in un autorun nei file /etc/rc.local, /etc/rc.d/…, /etc/cron.hourly. Linux.BtcMine.174 esegue anche una funzione che monitora le connessioni attive sul pc infetto e cerca di replicarsi ovunque possibile, ad esempio via SSH. Questo meccanismo è il metodo di diffusione maggiore per questo virus.

Dr.Web ha caricato gli hash SHA1 per vari componenti del malware su GitHub, in modo che i sysadmins possano controllare se i sistemi da loro usati sono infetti. Trovate maggiori dettagli su Linux.BtcMine.174 qui.

sharing-caring-1

Vi ricordiamo che seguirci è molto semplice: tramite la pagina Facebook ufficiale, tramite il nostro canale notizie Telegram e la nostra pagina Google Plus. Da oggi, poi, è possibile seguire il nostro canale ufficiale Telegram dedicato ad Offerte e Promo!

Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.