Black-T, malware de criptomineração para Linux, adota táticas antidetecção

Se você mantém um servidor com sistema Linux para algum projeto de aplicações web, tome cuidado: o Black-T, famoso malware criado e distribuído pelo grupo de criminosos cibernéticos TeamTNT, está mais poderoso do que nunca. Segundo pesquisadores da AT&T Alien Labs, o vírus acaba de integrar táticas anti-detecção, o que significa que se tornou mais difícil identificá-lo através de soluções de segurança tradicionais.

• Cibercriminosos estão usando ferramentas de código-aberto para criar malwares
• Ransomwares devem ser ameaça ainda maior em 2021
• Ataques a home office, ransomwares e dados íntimos são focos de ameaça para 2021

O Black-T surgiu como um criptominerador que atacava ambientes Docker rodando em servidores Linux — ou seja, ele invadia instalações com baixo nível de proteção e esgotava o poder de processamento da máquina para gerar criptomoedas. Porém, nos últimos tempos, ele também ganhou capacidade para extrair credenciais do servidor afetado, o que lhe tornou útil também para ataques de espionagem e roubo de informações.

Agora, segundo a AT&T, seus criadores integraram soluções de código aberto para facilitar o malware a evadir antivírus tradicionais. “O grupo está usando uma nova ferramenta de evasão, copiada de repositórios open source. O objetivo dessa ferramenta é esconder processos maliciosos de programas de informações de processos como ‘ps’ e ‘lsof’, agindo como uma técnica de evasão defensiva”, alertam os especialistas.

A solução em questão, batizada de libprocesshider, foi criada com finalidade benigna para desenvolvedores e profissionais de segurança cibernética — porém, como já noticiado pelo Canaltech, o uso de ferramentas de código aberto por parte de criminosos para aprimorar os seus malwares está se tornando uma prática comum nesse universo. Outros softwares comumente usados são o Octopus C2, Mythic e Covenant.

Fonte: Bleeping Computer