Em 23/05/2017 no site iMasters
Pesquisadores de malware do ESET descobriram um novo malware para Linux chamado de Linux/Shishiga com foco em sistemas derivados. Ele usa quatro protocolos diferentes (SSH, Telnet, HTTP e BitTorrent) implementando uma arquitetura modular usando scripts Lua.
“Entre todas as amostras para Linux que recebemos todos os dias, notamos uma amostra detectada somente pela Dr. Web – seu nome de detecção era Linux.LuaBot. Nós consideramos isso como suspeito, já que nossas taxas de detecção para a família Luabot tem sido geralmente elevadas. Após a análise, descobriu-se que este era, na verdade, um bot escrito em Lua, mas representa uma nova família e não está relacionado ao malware Luabot, visto nos meses anteriores. Assim, nós demos a ele um novo nome: Linux/Shishiga. Ele usa quatro diferentes protocolos (SSH — Telnet — HTTP — BitTorrent) e scripts Lua para modularidade”, conforme análise publicada pela empresa de segurança ESET.
O mecanismo de propagação por trás do malware Shishiga tira vantagem do ataque de força bruta. O código malicioso do Shishiga, na verdade, se baseia na utilização de credenciais fracas e padrões nas suas tentativas de se plantar em sistemas inseguros através de ataques de força bruta. O malware usa uma lista de senha embutida na tentativa de invadir um sistema.
bftelnet.lua
bfssh.lua
Apesar do Shishiga ter muitas semelhanças com outros malwares recentes ao abusar das credenciais fracas de Telnet e SSH, os pesquisadores consideram que ele é mais sofisticado devido ao uso do protocolo BitTorrent e módulos Lua.
“A primeira vista, o Linux/Shishiga pode parecer ser como os outros, se espalhando através de credenciais fracas de Telnet e SSH, mas o uso do protocolo BitTorrent e módulos Lua o separa do rebanho. O BitTorrent usado em um worm inspirado no Mirai, Hajime, foi observado no ano passado e só podemos especular que pode se tornar mais popular no futuro”, afirma a ESET.
Segundo os especialistas, o malware Shishiga é um trabalho em progresso, no momento da investigação da ESET o malware infectou apenas um pequeno número de máquinas Linux, os pesquisadores também observaram sua contínua adição, remoção e modificação dos componentes juntamente com comentários de código e informações de depuração.
É possível que Shishiga ainda possa evoluir e se tornar mais difundido, mas o baixo número de vítimas, a constante adição, remoção e modificação dos componentes, comentários do código e até mesmo as informações de depuração, indicam claramente que é um trabalho em andamento. Para impedir que seus dispositivos sejam infectados pelo Shishiga e worms semelhantes, não use as credenciais padrão Telnet e SSH.
A ESET está alertando para uma possível evolução do malware Shishiga, a fim de “impedir que seus dispositivos sejam infectadas pelo Shishiga e worms semelhantes, você não deve usar credenciais padrão de Telnet e SSH”.
Nenhum comentário:
Postar um comentário