Novo malware para Linux consegue mudar seu código para não ser detectado
Shikitega instala minerador de criptomoeda e pacote que dá acesso a recursos do sistema; ataque vem codificado e vai se revelando em etapas
Shikitega instala minerador de criptomoeda e pacote que dá acesso a recursos do sistema; ataque vem codificado e vai se revelando em etapas
Os ataques contra sistemas Linux vêm aumentando, e uma ameaça descoberta recentemente é muito engenhosa. O malware Shikitega começa com um arquivo de menos de 1 KB praticamente indetectável, e vai pouco a pouco se desenvolvendo na máquina, até obter privilégios de administrador bastante abrangentes.
A ameaça foi identificada por pesquisadores de segurança da operadora de telecomunicações AT&T. Ela usa um codificador polimórfico, responsável por “traduzir” o código em etapas.
Cada fase faz o download da próxima, até o malware instalar um minerador de criptomoedas e um pacote que controla partes importantes da máquina.
O primeiro arquivo tem apenas 376 bytes e é codificado usando o encoder Shikata Ga Nai. Ofer Caspi, pesquisador do AT&T Alien Labs, explica que esse módulo é usado para executar várias etapas de decodificação.
Muito do processo, como substituição de instruções, ordenamento de blocos e seleção de registros, é feito de forma dinâmica.
Os comandos e arquivos adicionais são executados direto da memória, sem passar pelo armazenamento. Tudo isso dificulta a detecção da ameaça por métodos tradicionais, como os baseados em assinaturas dos arquivos.
Apesar de o processo de infecção estar bem documentado pelo trabalho dos especialistas da AT&T, o objetivo final do Shikitega ainda é incerto.
O malware inclui o XMRig, que é um minerador da criptomoeda Monero, bastante visada por cibercriminosos.
No entanto, o programa também baixa um pacote conhecido como Mettle, que permite controlar webcams, roubar credenciais e redirecionar entradas e saídas de rede.
Por isso e por toda a sofisticação do ataque, o Shikitega pode não ser apenas um minerador de criptomoedas.
A ameaça se aproveita de duas falhas do kernel Linux para escalar seus privilégios e conseguir mais controle sobre a máquina.
Uma delas é a CVE-2021-4034, conhecida como PwnKit. Ela esteve no kernel por 12 anos e foi descoberta apenas em 2021. A outra, chamada CVE-2021-3494, veio à tona em abril de 2021.
Ambas foram corrigidas, mas as atualizações podem não ter sido instaladas em todos os dispositivos. Isso é ainda pior quando se trata de Internet das Coisas (IoT) — nem sempre as empresas dão o suporte adequado a produtos desse tipo.
Com informações: AT&T Cybersecurity, Ars Technica.