Novo vírus mira dispositivos Linux para minerar criptomoedas

Os dispositivos Linux estão na mira de uma nova categoria de vírus, que se espalha automaticamente pela internet e minera criptomoedas para gerar lucros aos bandidos. Batizada de NoaBot, a rede criminosa vem se disseminando desde janeiro do ano passado, enquanto alterações em seu código demonstram um interesse dos responsáveis em se manterem ocultos.

• Ransomware e vírus ladrão de cripto estão entre principais ameaças no Linux
• 10 anos depois, conceito de zero trust segue mais importante do que nunca

É quase uma contradição, conforme apontam os pesquisadores em segurança da Akamai, responsáveis pela descoberta. O NoaBot, em si, é uma variação da botnet Mirai, conhecida desde 2016 pela infecção de dispositivos Linux para realizar ataques de negação de serviço; em vez disso, porém, ela instala o minerador XMRig, também amplamente analisado pela comunidade de proteção digital, para usar os recursos computacionais na geração de lucro.

O método de disseminação também é relativamente comum, com os dispositivos infectados buscando outros na internet, de olho no uso de senhas fracas e conexões desprotegidas. Entretanto, a aparência de pouca sofisticação se encerra por aí, com a Akamai citando métodos de ofuscação de código e adições à programação original do vírus como indícios de que agentes um pouco mais especializados podem estar por trás da campanha.

Ela é disseminada em massa, mas há um cuidado de não exacerbar a quantidade de conexões. Ao longo do último ano, um dispositivo intencionalmente desprotegido e voltado para a captação de ataques — conhecido como honeypot — foi atingido quase 850 vezes. Cada uma dessas conexões, aponta a Akamai, corresponde a um dispositivo infectado em potencial, ajudando a espalhar a praga pela internet.

A China parece ser o país com maior número de contaminações, correspondendo a cerca de 10% do total de ataques analisados pela empresa de segurança. O Brasil também está na lista de atingidos, ainda que a Europa, o Oriente Médio e os EUA estejam à frente entre os territórios com maioria das detecções do NoaBot.

Vírus tem base conhecida, mas potencial oculto

O uso da botnet Mirai em ataques cibernéticos distribuídos em massa é comum há pelo menos sete anos e aumentou desde que o código fonte da praga foi divulgado publicamente por seus autores. A capacidade de se autorreplicar vem daí, mas o NoaBot chama a atenção pelo trabalho empregado em ocultar suas origens e, principalmente, os responsáveis pela campanha.

De acordo com a Akamai, esforços claros de ocultação de códigos e origem foram tomadas antes da botnet ver a luz do dia. Entre eles estão o uso de bibliotecas alternativas de compilação e a tomada de medidas para dificultar a engenharia reversa, assim como o uso de pastas aleatórias nos sistemas contaminados, complicando também a identificação de uma infecção.

O relatório da Akamai aponta ainda para a inserção de capacidades de exploração adicional, após a infecção inicial e automatizada. Ainda que golpes posteriores não tenham sido identificados, o NoaBot é cria uma porta de entrada para a execução de novos vírus ou propagação adicional, indicando potencial de uso ainda mais malicioso no futuro.

O uso exacerbado de recursos de processamento é o principal sinal de contaminação por um minerador de criptomoedas desse tipo. Enquanto isso, para evitar a infecção inicial, é importante ter dispositivos sempre atualizados e protegidos, com senhas seguras e protocolos de segurança aplicados de maneira adequada.

Fonte: Akamai