Crypto malware para Linux compromete Root y desactiva antivirus

El malware para Linux puede no estar tan extendido como las cepas que apuntan al ecosistema de Windows, pero existir, existe y se está volviendo igual de complejo y multifuncional. 

El último ejemplo de esta tendencia es un nuevo troyano descubierto por el fabricante de antivirus ruso Dr.Web. Esta nueva variedad de malware no tiene un nombre distintivo salvo el genérico Linux.BtcMine.174  pero es bastante más complejo que la mayoría del malware para Linux, debido a la gran cantidad de funciones maliciosas que incluye. 

Este crypto malware para Linux es es un script gigante de más de 1.000 líneas de código. Lo primero que hace es encontrar una carpeta en el disco en la que tenga permisos de escritura para poder copiarse y utilizarla para descargar otros módulos. Una vez introducido, utiliza uno de estos dos exploits de escalada de privilegios, CVE-2016-5195 (también conocido como Dirty COW) o el CVE-2013-2094, para obtener permisos de root y tener acceso completo al sistema operativo.

El troyano se configura como un demonio local e incluso descarga la utilidad nohup para lograr esta operación si la utilidad no está presente. Después que el troyano tiene un dominio firme sobre el host infectado, continúa con la ejecución de su función principal para lo que ha sido diseñado: la minería de criptomonedas y no sin antes escanear finalizar otros procesos de familias rivales de malware de minería antes de instalar la suya propia.

Además, descarga y ejecuta otros tipos de malware como ‘Bill.Gates’, una conocida cepa de malware DDoS, pero que también incluye funciones de tipo puerta trasera. El troyano también buscará nombres de procesos asociados con soluciones antivirus basadas en Linux y eliminará su ejecución. 

No contento con ello, el troyano también se añade como una entrada de ejecución automática a archivos como /etc/rc.local, /etc/rc.d/ y /etc/cron.hourly, para descargar y ejecutar un rootkit, que según Dr.Web tiene características aún más intrusivas como “la capacidad de robar contraseñas ingresadas por el usuario para el comando su, acceso a los archivos ocultos del sistema, las conexiones de red y procesos en ejecución”.

El troyano también ejecutará una función que recopila información sobre todos los servidores remotos donde el host infectado se ha conectado a través de SSH para propagarse a más sistemas. Se cree que este mecanismo de auto-propagación SSH es el principal canal de distribución de este potente Crypto malware para Linux.

Dr.Web ha subido los hashes SHA1 para los diversos componentes del troyano en GitHub por si los administradores de sistemas deseen analizar sus equipos para detectar la presencia de esta amenaza relativamente nueva. Más información | Linux.BtcMine.174 – Dr.Web Anti-virus para Linux.