Malware de Linux actualiza para evadir la detección

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad de AT&T Alien Labs han descubierto que el grupo de ciberdelincuencia TeamTNT actualizó su cripto minería Linux con capacidades de evasión de detección de código abierto.

TeamTNT es principalmente conocido por apuntar y comprometer instancias de Docker expuestas a Internet para minería no autorizada de Monero (XMR).

Sin embargo, el grupo también ha cambiado de táctica al actualizar su malware de criptojacking de Linux llamado Black-T para recopilar también las credenciales de usuario de los servidores infectados.

TeamTNT ahora actualizó aún más su malware para evadir la detección después de infectar e implementar cargas útiles de minero de monedas maliciosas en dispositivos Linux.

Ocultos a plena vista

"El grupo está utilizando una nueva herramienta de evasión de detección, copiada de repositorios de código abierto", dice el investigador de seguridad de AT&T Alien Labs, Ofer Caspi, en un informe publicado hoy.

Esta herramienta se conoce como libprocesshider y es una herramienta de código abierto disponible en Github que se puede utilizar para ocultar cualquier proceso de Linux con la ayuda del preloader de ld.

"El objetivo de la nueva herramienta es ocultar el proceso malicioso de los programas de información del proceso como` ps` y `lsof`, actuando efectivamente como una técnica de evasión de defensa", agregó Caspi.

La herramienta de detección de evasión se implementa en sistemas infectados como un script bash codificado en base64 incrustado en el binario TeamTNT ircbot o cryptominer.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez que el script se inicia en una máquina comprometida, ejecutará una serie de tareas que le permitirán:

     Modifique la configuración de DNS de la red.
     Establezca la persistencia a través de systemd.
     Suelta y activa la nueva herramienta como servicio.
     Descargue la última configuración del bot de IRC.
     Evidencia clara de actividades para complicar las posibles acciones de los defensores.

Después de seguir todos los pasos, el malware Black-T también borrará automáticamente todos los rastros de actividad maliciosa al eliminar el historial de bash del sistema.

"Mediante el uso de libprocesshider, TeamTNT una vez más expande sus capacidades en base a las herramientas de código abierto disponibles", concluyó Caspi.

"Si bien la nueva funcionalidad de libprocesshider es evadir la detección y otras funciones básicas, actúa como un indicador a considerar cuando se busca actividad maliciosa en el nivel del host".

Actualizaciones de botnet

MalwareHunterTeam descubrió por primera vez la botnet de minería de criptomonedas en mayo de 2020 y luego fue analizada por Trend Micro, que descubrió su afinidad con Docker.

Después de que el malware infecta un servidor mal configurado, se implementará en nuevos contenedores y soltará un binario de carga útil malicioso que comienza a extraer la criptomoneda Monero (XMR).

En agosto, Cado Security descubrió la nueva función de recolección de credenciales de AWS del gusano TeamTNT, lo que la convierte en la primera botnet de criptojacking con esta capacidad.

Un mes después, Intezer observó el malware mientras implementaba la herramienta legítima de código abierto Weave Scope para tomar el control de la infraestructura en la nube Docker, Kubernetes, Distributed Cloud Operating System (DC / OS) o AWS Elastic Compute Cloud (ECS) de las víctimas. .

A principios de este mes, TeamTNT comenzó a usar el cargador de memoria y el criptográfico Ezuri de código abierto para hacer que su malware sea virtualmente indetectable por los productos antivirus.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta