Um malware focado em Linux chamado Shikitega surgiu para atingir endpoints e dispositivos da Internet das Coisas (IoT) com uma cadeia de infecção única e de vários estágios que resulta na aquisição total do dispositivo e em um criptominerador.
Pesquisadores do AT&T Alien Labs que detectaram o código incorreto disseram que o fluxo de ataque consiste em uma série de módulos. Cada módulo não apenas baixa e executa o próximo, mas cada uma dessas camadas serve a um propósito específico, de acordo com um postagem de terça da Alien Labs.
Por exemplo, um módulo instala Metasploit's "Mettle" Meterpreter, que permite que os invasores maximizem seu controle sobre as máquinas infectadas com a capacidade de executar código shell, assumir o controle de webcams e outras funções e muito mais. Outro é responsável por explorar duas vulnerabilidades do Linux (CVE-2021-3493
e CVE-2021-4034) para obter escalonamento de privilégios como root e obter persistência; e ainda outro executa o conhecido criptominerador XMRig para minerar Monero.
Outros recursos notáveis no malware incluem o uso do codificador polimórfico “Shikata Ga Nai” para impedir a detecção por mecanismos antivírus; e o abuso de serviços de nuvem legítimos para armazenar servidores de comando e controle (C2s). De acordo com a pesquisa, os C2s podem ser usados para enviar vários comandos de shell ao malware, permitindo que os invasores tenham controle total sobre o alvo.
Exploits de malware Linux em ascensão
Shikitega é indicativo de uma tendência para cibercriminosos desenvolvimento de malware para Linux - a categoria disparou nos últimos 12 meses, disseram os pesquisadores do Alien Labs, com um pico de 650%.
A incorporação de exploits de bugs também está aumentando, acrescentaram.
“Atores de ameaças acham servidores, endpoints e dispositivos IoT baseados em sistemas operacionais Linux cada vez mais valiosos e encontram novas maneiras de entregar suas cargas maliciosas”, de acordo com a postagem. "Novo malwares como o BotenaGo e EnemyBot
são exemplos de como os criadores de malware incorporam rapidamente vulnerabilidades descobertas recentemente para encontrar novas vítimas e aumentar seu alcance.”
Em uma nota relacionada, o Linux também está se tornando um alvo popular para ransomware: um relatório da Trend Micro esta semana identificou um aumento de 75% em ataques de ransomware direcionados a sistemas Linux no primeiro semestre de 2022 em comparação com o mesmo período do ano passado.
Como se proteger contra infecções por Shikitega
Terry Olaes, diretor de engenharia de vendas da Skybox Security, disse que, embora o malware possa ser novo, as defesas convencionais ainda serão importantes para impedir infecções de Shikitega.
“Apesar dos novos métodos usados pelo Shikitega, ele ainda depende da arquitetura testada e comprovada, C2 e acesso à Internet, para ser totalmente eficaz”, disse ele em comunicado fornecido à Dark Reading. “Os administradores de sistemas precisam considerar o acesso à rede apropriado para seus hosts e avaliar os controles que controlam a segmentação. Ser capaz de consultar um modelo de rede para determinar onde existe o acesso à nuvem pode ajudar muito a entender e mitigar riscos para ambientes críticos.”
Além disso, dado o foco que muitas variantes do Linux colocam na incorporação de exploits de bugs de segurança, ele aconselhou as empresas a, é claro, se concentrarem na correção. Ele também sugeriu a incorporação de um processo personalizado de priorização de patches, que é mais fácil dizer do que fazer.
“Isso significa adotar uma abordagem mais proativa para o gerenciamento de vulnerabilidades, aprendendo a identificar e priorizar as vulnerabilidades expostas em todo o cenário de ameaças”, disse ele. “As organizações devem garantir que possuem soluções capazes de quantificar o impacto comercial dos riscos cibernéticos com fatores de impacto econômico. Isso os ajudará a identificar e priorizar as ameaças mais críticas com base no tamanho do impacto financeiro, entre outras análises de risco, como pontuações de risco baseadas em exposição”.
Ele acrescentou: “Eles também devem aprimorar a maturidade de seus programas de gerenciamento de vulnerabilidades para garantir que possam descobrir rapidamente se uma vulnerabilidade os afeta ou não, quão urgente é remediar e quais opções existem para essa correção”.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
