Antivírus para Linux: 5 opções para uso doméstico e empresarialO que é vírus? [e a diferença para malware]
A ameaça foi identificada por pesquisadores de segurança da operadora de telecomunicações AT&T. Ela usa um codificador polimórfico, responsável por “traduzir” o código em etapas. Cada fase faz o download da próxima, até o malware instalar um minerador de criptomoedas e um pacote que controla partes importantes da máquina. O primeiro arquivo tem apenas 376 bytes e é codificado usando o encoder Shikata Ga Nai. Ofer Caspi, pesquisador do AT&T Alien Labs, explica que esse módulo é usado para executar várias etapas de decodificação. Muito do processo, como substituição de instruções, ordenamento de blocos e seleção de registros, é feito de forma dinâmica. Os comandos e arquivos adicionais são executados direto da memória, sem passar pelo armazenamento. Tudo isso dificulta a detecção da ameaça por métodos tradicionais, como os baseados em assinaturas dos arquivos.
Ainda não se sabe o objetivo do malware
Apesar de o processo de infecção estar bem documentado pelo trabalho dos especialistas da AT&T, o objetivo final do Shikitega ainda é incerto. O malware inclui o XMRig, que é um minerador da criptomoeda Monero, bastante visada por cibercriminosos. No entanto, o programa também baixa um pacote conhecido como Mettle, que permite controlar webcams, roubar credenciais e redirecionar entradas e saídas de rede. Por isso e por toda a sofisticação do ataque, o Shikitega pode não ser apenas um minerador de criptomoedas.
Malware ataca falhas já corrigidas
A ameaça se aproveita de duas falhas do kernel Linux para escalar seus privilégios e conseguir mais controle sobre a máquina. Uma delas é a CVE-2021-4034, conhecida como PwnKit. Ela esteve no kernel por 12 anos e foi descoberta apenas em 2021. A outra, chamada CVE-2021-3494, veio à tona em abril de 2021. Ambas foram corrigidas, mas as atualizações podem não ter sido instaladas em todos os dispositivos. Isso é ainda pior quando se trata de Internet das Coisas (IoT) — nem sempre as empresas dão o suporte adequado a produtos desse tipo. Com informações: AT&T Cybersecurity, Ars Technica.
