Linuksowy malware najpierw usuwa innych szkodników, a potem sam zaczyna kopać kryptowaluty
Specjaliści z firmy Trend Micro natrafili na nietypowy coin miner dla Linuksa, który nie tylko wydobywa kryptowaluty bez wiedzy użytkownika systemu, ale także oczyszcza komputer z innych szkodników, aby móc wykorzystać wszystkie dostępne zasoby sprzętowe.
Malware wykorzystuje zmodyfikowany kod XMR-Stak; zunifikowanej koparki dla algorytmu cryptonight, która potrafi spożytkować większość obecnie dostępnych na rynku procesorów x86 i kart graficznych. A dzięki tabeli programu cron, uruchamia się po każdym restarcie.
Jak ustalono, rozprzestrzenia się poprzez kamery IP i usługi sieciowe na porcie 8161 protokołu TCP. Napastnik przesyła crontab inicjujący pobieranie szkodliwego skryptu powłoki.
Po uruchomieniu, coin miner w pierwszej kolejności usuwa inne oprogramowanie tego typu, jak również ewentualny inny malware, który działając w tle, mógłby ograniczać moc przeznaczaną na wydobycie kryptowalut. Oczyściwszy system, sam rozpoczyna kopanie.
„Podczas gdy procedura usuwania złośliwego oprogramowania w systemie nie jest nowa, nigdy nie widzieliśmy usuwania szkodliwego oprogramowania z systemu Linux na taką skalę. Usunięcie konkurencyjnego szkodliwego oprogramowania jest jednym ze sposobów, w jakie cyberprzestępcy maksymalizują zysk” – komentuje swoje znalezisko zespół Trend Micro.
Fachowcy zalecają wszystkim użytkownikom systemów linuksowych, aby baczniej analizowali listę aktywnych procesów. Jest to, jak wiadomo, najprostszy sposób na wykrycie niechcianego minera.
