Criptominadores de linux están utilizando rootkits para permanecer ocultos.

A medida que aumenta la popularidad de la criptomoneda, también lo hace la cantidad de troyanos criptominer que se crean y distribuyen en víctimas confiadas. Un problema para los minadores, sin embargo, es que el proceso ofensivo es fácilmente detectable debido a su gran uso de la CPU.

Para hacer más difícil detectar un proceso de cryptominer que utiliza toda la CPU, se ha descubierto una nueva variante para Linux que intenta ocultar su presencia utilizando un rootkit.

Según un nuevo informe de TrendMicro, este nuevo combo cryptominer + rootkit seguirá causando problemas de rendimiento debido a la alta utilización de la CPU, pero los administradores no podrán detectar qué proceso lo está causando.

"Recientemente encontramos un malware de minería de criptomonedas (detectado por Trend Micro como Coinminer.Linux.KORKERDS.AB) que afecta a los sistemas Linux", dijo un informe de TrendMicro. "Es notable por estar incluido con un componente de rootkit (Rootkit.Linux.KORKERDS.AA) que oculta la presencia del proceso malicioso de las herramientas de monitoreo. Esto hace que sea difícil de detectar, ya que los sistemas infectados solo indicarán problemas de rendimiento. El malware es También es capaz de actualizarse y actualizarse a sí mismo y su archivo de configuración ".

Si bien no se sabe qué software está instalando este minero, TrendMicro cree que es un complemento no oficial o comprometido. Una vez instalado, el ejecutable descargará y ejecutará una serie de scripts de shell que finalmente instalarán el minero y luego un rootkit para ocultar la presencia de los mineros.

En la variante detectada por TrendMicro, el cryptominer se instalará en / tmp / kworkerds y se ejecutará. Cuando el rootkit no está instalado, puede ver fácilmente el proceso kworkerds utilizando el 100% de la CPU.


Sin embargo, una vez que se instala el rootkit, el proceso que causa la alta CPU no es visible a pesar de que la utilización total del sistema todavía se muestra como 100%.


Fuente: BleepingComputer