Novo malware para Linux consegue mudar seu código para não ser detectado

Shikitega instala minerador de criptomoeda e pacote que dá acesso a recursos do sistema; ataque vem codificado e vai se revelando em etapas

Giovanni Santa Rosa

Os ataques contra sistemas Linux vêm aumentando, e uma ameaça descoberta recentemente é muito engenhosa. O malware Shikitega começa com um arquivo de menos de 1 KB praticamente indetectável, e vai pouco a pouco se desenvolvendo na máquina, até obter privilégios de administrador bastante abrangentes.

A ameaça foi identificada por pesquisadores de segurança da operadora de telecomunicações AT&T. Ela usa um codificador polimórfico, responsável por “traduzir” o código em etapas.

Cada fase faz o download da próxima, até o malware instalar um minerador de criptomoedas e um pacote que controla partes importantes da máquina.

O primeiro arquivo tem apenas 376 bytes e é codificado usando o encoder Shikata Ga Nai. Ofer Caspi, pesquisador do AT&T Alien Labs, explica que esse módulo é usado para executar várias etapas de decodificação.

Muito do processo, como substituição de instruções, ordenamento de blocos e seleção de registros, é feito de forma dinâmica.

Os comandos e arquivos adicionais são executados direto da memória, sem passar pelo armazenamento. Tudo isso dificulta a detecção da ameaça por métodos tradicionais, como os baseados em assinaturas dos arquivos.

Ainda não se sabe o objetivo do malware

Apesar de o processo de infecção estar bem documentado pelo trabalho dos especialistas da AT&T, o objetivo final do Shikitega ainda é incerto.

O malware inclui o XMRig, que é um minerador da criptomoeda Monero, bastante visada por cibercriminosos.

No entanto, o programa também baixa um pacote conhecido como Mettle, que permite controlar webcams, roubar credenciais e redirecionar entradas e saídas de rede.

Por isso e por toda a sofisticação do ataque, o Shikitega pode não ser apenas um minerador de criptomoedas.

Malware ataca falhas já corrigidas

A ameaça se aproveita de duas falhas do kernel Linux para escalar seus privilégios e conseguir mais controle sobre a máquina.

Uma delas é a CVE-2021-4034, conhecida como PwnKit. Ela esteve no kernel por 12 anos e foi descoberta apenas em 2021. A outra, chamada CVE-2021-3494, veio à tona em abril de 2021.

Ambas foram corrigidas, mas as atualizações podem não ter sido instaladas em todos os dispositivos. Isso é ainda pior quando se trata de Internet das Coisas (IoT) — nem sempre as empresas dão o suporte adequado a produtos desse tipo.

Com informações: AT&T Cybersecurity, Ars Technica.

Leia | Antivírus para Linux: 5 opções para uso doméstico e empresarial

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.