Il nome del malware recentemente scoperto è Linux.BtcMine.174 ma, a dispetto del nome poco altisonante, si tratta davvero di un osso duro. Può infatti contare su uno script di oltre 1.000 stringhe di codice, che una volta eseguito si mette subito all’opera per trovare una cartella con permessi di scrittura per replicare sé stesso e scaricare altri pezzi di codice per organizzare la vera e propria offensiva.
Una volta inseritosi nel sistema il malware usa due exploits: CVE-2016-5195 (noto anche come Dirty COW) e CVE-2013-2094 per ottenere i permessi di root. Una volta attivo forza la chiusura di antivirus e di tutti i processi che potrebbero dargli fastidio e inizia l’attività di mining. La criptovaluta minata è Monero (XMR).
Il malware scarica anche il trojan Bill.Gates e un rootkit lasciando aperta una backdoor per i cybercriminali. Il rootkit ha funzionalità molto avanzate: è in grado di nascondere file e processi attivi. Non contento, stando alle analisi di Dr.Web, il malware si trasforma in un autorun nei file /etc/rc.local, /etc/rc.d/…, /etc/cron.hourly. Linux.BtcMine.174 esegue anche una funzione che monitora le connessioni attive sul pc infetto e cerca di replicarsi ovunque possibile, ad esempio via SSH. Questo meccanismo è il metodo di diffusione maggiore per questo virus.
Dr.Web ha caricato gli hash SHA1 per vari componenti del malware su GitHub, in modo che i sysadmins possano controllare se i sistemi da loro usati sono infetti. Trovate maggiori dettagli su Linux.BtcMine.174 qui.
In una vera e propria escalation malevola, il virus è capace di ottenere i privilegi di root sottraendo la password dell’utente, per poi inibire tutti gli altri processi in esecuzione – specialmente eventuali antivirus, che potrebbero mettergli i bastoni fra le ruote – ed iniziare il mining di Monero, una criptovaluta alternativa ai più noti Bitcoin. Si tratta dunque di un malware molto complesso e pericoloso, per scoprire se foste stati infettati e per conoscere maggiori dettagli sul suo conto, vi rimandiamo al sito di Dr.Web.
Aggiornamento il 26/11/2018
